Las Amenazas Persistentes Avanzadas (APTs) hacen referencia a una categoría de amenazas que actúa de forma agresiva y sigilosa sobre objetivos muy concretos para mantener una presencia constante dentro de las redes de las víctimas. Estos espías electrónicos tienen la capacidad de moverse lateralmente dentro de la organización y son capaces de extraer datos con gran facilidad.
Las APTs son ataques normalmente dirigidos contra compañías y sus recursos, o contra organismos gubernamentales. Por lo general, un ataque de ingeniería social llevado a cabo sobre un empleado de una empresa desencadena una serie de actividades que deja expuesta a la compañía a un riesgo serio.
El equipo de Trend Micro ha elaborado una infografía para que los usuarios puedan comprender cómo funcionan este tipo de ataques, además de conocer los mitos que rodean a tan peligrosas amenazas que, a día de hoy, representan uno de los mayores retos a combatir.
Las 6 fases de una APT:
1.-Recopilación de información: se trata de adquirir información estratégica sobre el entorno de TI objetivo y la estructura de la organización. El 31% de los empleadores plantea acciones disciplinarias ante los empleados que publiquen información confidencial en páginas de redes sociales.
2.- Punto de entrada: las APTs buscan lograr entrar en la red a través del correo electrónico, mensajería instantánea, redes sociales o explotando software. En un experimento realizado, el 87% de las organizaciones accedió a un link relacionado con un señuelo de ingeniería social.
3.- Servidor de mando y control (C&C, por sus siglas en inglés): asegurar la comunicación continuada entre el host comprometido y el servidor C&C. El 70% de las redes empresariales están infectadas por malware.
4.- Movimiento lateral: localizan los hosts que alojan información sensible dentro de la red objetivo. La campaña LURID comprometió a un total de 1.465 equipos informáticos en 61 países. Por su parte, la campaña GhostNet implicó a 2.000 equipos en 103 países.
5.- Descubrir activos y datos: identificar los datos valiosos para aislarlos con el fin de proceder a futuras sustracciones de información. Los secretos empresariales comprometen dos tercios de los portfolios de información de las compañías, aunque sólo la mitad de sus presupuestos de seguridad están dedicados a protegerlos.
6.- Extracción de datos: en esta etapa se procede a transmitir la información a un lugar controlado por los responsables de las amenazas. RSA gastó 66 millones de dólares en deshacer el daño producido al sustraerse datos de su red.
Mitos de las APTs
Sólo las APTs provocan brechas de datos Las brechas de datos son el resultado de diferentes tipos de ataques en una organización. Algunas brechas de datos están provocadas por algún tipo de negligencia o por personas malintencionadas maliciosas que pertenecen al entorno de la organización.
Las APTs son incidentes aislados Las APTs están consideradas como campañas y no como acciones aisladas. Las APTs utilizan múltiples métodos e intentos repetidos para lograr sus objetivos.
Las APTs están diseñadas para extraer información o archivos predeterminados Mientras los atacantes conocen la clase de información que desean robar, necesitan actuar con sigilo y realizando movimientos laterales para sustraer los archivos específicos que necesitan.
El dinero el la única motivación que hay detrás de las campañas APTs Las ganancias financieras no son la única prioridad para los atacantes. Las campañas APTs están dirigidas contra organizaciones por motivos de ciber-espionaje, sabotaje o, directamente contra el valor financiero de los datos robados.
Las soluciones de seguridad estándar protegen de forma automática contra las APTs Actualmente no existe ningún remedio infalible, pero utilizando estrategias de detección especializada para monitorizar las redes es posible reducir de forma significativa el riesgo.
En definitiva, desde Trend Micro recomiendan considerar que cuánto más sensible sea la información y más extendida la colaboración, existe un mayor grado de exposición a los riesgos.
