¿Qué tienen en común los Juegos Olímpicos de Invierno, la red de información Berlín-Bonn y las grandes y medianas empresas? Todos ellos han sido y siguen siendo blanco de ciberataques de alto valor que buscan espiar y sabotear los procesos internos y robar y copiar datos importantes y secretos. Todo esto se hace de la forma más desapercibida posible y durante un período de tiempo más largo. Se trata de “amenazas avanzadas y persistentes”,, comúnmente conocidas como “amenazas avanzadas y persistentes” APT.

Hornetsecurity News


Manténgase informado

Suscríbase a Hornetsecurity News para recibir la información más reciente del área Cloud Security.

“Los ataques son “avanzados” porque el atacante dispone de tiempo suficiente y acceso a grandes cantidades de dinero y, con ello, a capacidades de información y desarrollo. Para las “víctimas”, la intervención en su infraestructura informática es difícilmente localizable y difícil de encontrar, por lo que el intruso puede moverse sin ser detectado en la red interna durante varias semanas o incluso meses. Los ciberdelincuentes son a menudo grupos enteros y no es inusual que los competidores, las organizaciones o incluso los Estados estén detrás de los ataques ingeniosos.

Sus motivos son muy diferentes y van desde copiar tanta información detallada como sea posible sobre los datos internos de la empresa, así como hechos militares y políticos, hasta el enriquecimiento financiero en forma de robo financiero y de tarjetas de crédito. En Alemania, la Oficina Federal para la Protección de la Constitución advirtió recientemente de una nueva ola de ataques de la APT contra empresas y organizaciones de medios de comunicación alemanes en el ámbito de la investigación sobre armas químicas.

En general, a medida que la digitalización avanza en un número cada vez mayor de empresas, la ciberdelincuencia también va en aumento. Según un reciente estudio de Bitkom sobre espionaje digital, sabotaje y robo de datos, el 68% de las empresas encuestadas en Alemania declararon que se habían visto afectadas por la ciberdelincuencia en los dos últimos años (hasta octubre de 2018).

Las cinco etapas de un ataque de la APT

A diferencia de los ataques de virus y spam “comunes”, en los que los hackers envían un gran número de correos electrónicos infectados a víctimas aleatorias, un grupo de APT APT busca deliberadamente un objetivo de alto rango elegido por sus motivos. Los atacantes proceden según un patrón clásico, que puede dividirse en 5 niveles:

1. explorar e investigar

Una vez que se ha seleccionado un objetivo, la primera fase del ataque consiste en recopilar la mayor cantidad de información posible sobre la empresa u organización. Es muy probable que los hackers accedan a sitios web corporativos, medios sociales y otras fuentes disponibles al público para encontrar posibles puntos de entrada en los sistemas del objetivo.

2. una idea del sistema

Si el atacante tiene una buena idea de la estructura de su objetivo de ataque y sabe qué direcciones IP, dominios y sistemas están conectados de qué manera, puede buscar vulnerabilidades en detalle. Para tener acceso a los sistemas del objetivo, los hackers utilizan varios métodos: la ingeniería social, , como el fraude & y el phishing de los directores ejectivos, así como el software de rescate, ataques mixtos y los ataques dirigidos se encuentran entre los más conocidos. Por ejemplo, la seguridad cibernética no se limita a los sistemas y redes informáticas: los grupos de APT suelen utilizar el “factor humano” como una vulnerabilidad explotando rasgos humanos como la utilidad y la confianza. Una encuesta reciente realizada por la Oficina Federal de Seguridad de la Información (BSI) reveló que uno de cada seis empleados respondería a un correo electrónico falso de la planta ejecutiva y divulgaría información confidencial de la empresa.

3. espiando y extendiéndose

Tan pronto como los hackers tienen acceso al sistema, los atacantes suelen operar con la mayor cautela posible para no ser detectados. Las medidas de seguridad de la empresa y el software implementado se identifican de forma que se puedan explotar más agujeros de seguridad para ampliar el acceso de los atacantes a la red. Con la ayuda de los keyloggers y los datos encontrados, se intenta encontrar contraseñas y así obtener acceso a otros registros y sistemas de datos.

4. ejecución del ataque

Los perpetradores acceden a los sistemas desprotegidos y ahora actúan de acuerdo con su motivación y objetivos para este ataque. Por ejemplo, los datos sensibles de la empresa se pueden recopilar durante un período de tiempo más largo y/o se puede instalar malware en el sistema de TI. También se puede optar por la paralización de los sistemas y, por lo tanto, de los procedimientos operativos.

5. filtrado y análisis de los datos

Los datos y la información recopilada se envían a la base del Grupo APT para su análisis. Para poder acceder al sistema infectado de la empresa en cualquier momento y sobre todo sin ser detectado, los atacantes pueden instalar una especie de “puerta trasera”.

Detección y prevención de los APT

Particularmente con estos procedimientos manuales e individualizados, la seguridad de TI debe centrarse en la detección selectiva y en la reacción inmediata a posibles intentos de ataque. Con la avalancha diaria de correos electrónicos que entran y salen de una empresa, no se puede controlar manualmente, por ejemplo, los archivos adjuntos individuales o el contenido que indica fraude de los directores ejecutivos.

Con Hornetsecurity Advanced Threat Protection, los innovadores motores de análisis forense proporcionan supervisión en tiempo real de las comunicaciones corporativas y previenen inmediatamente los ataques. El servicio de APT está integrado directamente en la gestión de la seguridad del correo y ofrece mecanismos de protección tales como sandbox, reescritura de URL, análisis de URL, congelación y análisis forense de fraude dirigido, además del filtro de spam y virus. En caso de un ataque, es importante notificar inmediatamente al equipo de seguridad de TI de la empresa con detalles específicos sobre la naturaleza y el objetivo del ataque APT, el remitente y por qué se interceptó el correo electrónico. Gracias a las alertas en tiempo real, Hornetsecurity ATP puede informar al equipo de seguridad de TI de una empresa sobre ataques agudos en tiempo real. Esta información actualizada puede ser utilizada directamente por la empresa para la adopción de medidas correctivas, de modo que usted pueda cerrar sus brechas de seguridad en el menor tiempo posible y establecer medidas de protección adicionales.

Información adicional: