En los últimos años se ha observado una tendencia en el panorama de las ciberamenazas cada vez más hostil, y en 2023 se observará un nivel significativo de actividad por parte de los grupos de amenazas persistentes avanzadas (APT).
Desde las bandas criminales mejor organizadas hasta los actores patrocinados por el Estado, las APT representan una de las amenazas cibernéticas más desafiantes y peligrosas que enfrentan las organizaciones en la actualidad. Tienen acceso a los conocimientos y herramientas de ataque más avanzados, y a los recursos para perseguir tenazmente a sus objetivos hasta que tengan éxito.
Se espera que estos grupos sean igual de prolíficos en 2024 y más allá, por lo que las organizaciones deben familiarizarse con las tendencias de ataque más destacadas y reforzar sus estrategias. seguridad posturas frente a estas amenazas sofisticadas y en evolución.
¿Cómo están alcanzando sus objetivos las APT?
Solo en la primera mitad de 2023, Rapid7 rastreó 79 ataques distintos orquestados por actores respaldados por el estado. Cerca de una cuarta parte (24%) de los ataques que analizamos utilizaron exploits contra usuarios de cara al público. aplicaciones. Los ataques se extendieron a través de gobiernos infiltrados, infraestructura crítica y redes corporativas, y a menudo sirvieron como puerta de entrada a ataques más amplios y dañinos.
El Spear phishing con un archivo adjunto también es un vector de ataque elegido por los grupos APT. Esta técnica engañosamente simple pero efectiva se empleó en el 23% de estos ataques, mientras que el 22% implicó el abuso de cuentas válidas.
También existen numerosos motivos que impulsan a estos grupos patrocinados por el Estado. La guerra cibernética se ha vuelto cada vez más frecuente en los últimos tiempos, particularmente en relación con el conflicto en curso en Ucrania, con ataques cibernéticos a infraestructuras críticas que reflejan ataques militares físicos.
La actividad de ciberespionaje también ha aumentado, y los operativos apuntan a extraer información valiosa de inteligencia o propiedad intelectual para obtener influencia política o económica. En relación con esto, muchos ataques tienen objetivos financieros y apuntan al sector privado para eludir sanciones económicas o financiar regímenes estatales.
Director senior de análisis de amenazas en Rapid7.
Explotación de vulnerabilidades antiguas y nuevas
Los grupos APT suelen ser sinónimo de ataques de día cero. Las vulnerabilidades de día cero son activos extremadamente valiosos dentro de la economía cibercriminal y hemos encontrado ejecuciones remotas de código (RCE) para red dispositivos como Juniper y Cisco se venden por más de 75.000 dólares en la web oscura.
Los recursos y la experiencia, a menudo superiores, de los grupos APT significan que es más probable que descubran o compren nuevas vulnerabilidades y las integren primero en sus ataques. A mediados de 2023, aproximadamente un tercio de todas las vulnerabilidades generalizadas se utilizaron en días cero.
Dicho esto, es un error pensar que estos grupos de élite están restringidos a utilizar herramientas de élite. Las APT son tan oportunistas como cualquier otra banda criminal y fácilmente utilizarán vulnerabilidades antiguas y conocidas si su objetivo no las ha cerrado.
Entre las vulnerabilidades más antiguas que experimentaron una explotación frecuente en 2023 se encuentran CVE-2021-20038, una vulnerabilidad descubierta por Rapid7 en dispositivos de la serie SonicWall SMA 100, y CVE-2017-1000367, una vulnerabilidad en el comando sudo que permite la divulgación de información y la ejecución de comandos. . Una APT incluso utilizó una vulnerabilidad de 2013 (CVE-2013-3900), de hace diez años y exitosa.
La popularidad de estas vulnerabilidades más antiguas subraya una supervisión crítica en muchos la seguridad cibernética estrategias. Existe una tendencia a centrarse en las amenazas emergentes, lo que a menudo lleva a descuidar las debilidades existentes pero aún explotables.
En general, Rapid7 vio una amplia gama de tácticas por parte de grupos APT en tecnologías empresariales comúnmente implementadas, con un énfasis notable en los dispositivos de borde de red. Los enrutadores, los dispositivos de seguridad, el software de gestión de impresión y las soluciones de voz sobre IP (VOIP) se han convertido en objetivos principales, lo que pone de relieve un cambio estratégico hacia la explotación de vulnerabilidades que a menudo se pasan por alto en la periferia de la red.
La protección contra amenazas avanzadas comienza con lo fundamental
Defenderse de un adversario APT decidido y armado con un día cero nunca antes visto es una propuesta desafiante. Dicho esto, las organizaciones que han tomado medidas para reforzar su perímetro presentan un objetivo difícil que a menudo puede enviar a estos grupos en busca de presas más fáciles.
Como se mencionó, existe una tendencia a centrarse demasiado en medidas de seguridad avanzadas, lo que sin darse cuenta puede dejar abiertas rutas de ataque más obvias. Aquí es particularmente importante centrarse continuamente en los fundamentos de la gestión de vulnerabilidades. Establecer ciclos de parches claros y mensurables y priorizar las vulnerabilidades explotadas activamente reducirá el riesgo de que las APT obtengan fácil acceso a través de vulnerabilidades antiguas y reducirá la ventana de amenaza de exploits recién descubiertos.
Similarmente, identidadLa seguridad basada en la seguridad es muy importante aquí, especialmente la autenticación multifactor (MFA). Casi el 40% de todos los incidentes de seguridad analizados por Rapid7 en la primera mitad de 2023 estuvieron relacionados con una implementación inadecuada de MFA, particularmente en VPN, infraestructuras de escritorios virtuales y productos SaaS. MFA es una línea de defensa fundamental, especialmente contra las APT que explotan aplicaciones públicas. Si bien puede ser subvertido por enemigos suficientemente decididos, un proceso sólido de AMF hará la vida mucho más difícil para los atacantes.
Esquivando las tácticas APT favoritas
Si se analizan medidas de seguridad más avanzadas, la lucha contra la filtración de datos debería ser una prioridad. Esto es particularmente importante dado que el espionaje es una motivación cada vez más común entre las APT respaldadas por el Estado.
Las medidas clave aquí incluyen alertar o restringir cargas de archivos inusualmente grandes y monitorear grandes volúmenes de tráfico a una única IP o dominio. Vigilancia en el monitoreo de accesos inusuales a plataformas de almacenamiento en la nube como Google Drive, SharePoint y ShareFile también son esenciales. Además, implementar filtrado de salida, restringir los privilegios de administrador local en los hosts y monitorear la presencia o el uso de utilidades de archivo y transferencia de datos son pasos cruciales para fortalecer la postura de ciberseguridad de una organización.
Rapid7 también observó un abuso desenfrenado de microsoft OneNote para difundir malware, principalmente mediante phishing correos electrónicos. Bloquear archivos .one en el perímetro o puerta de enlace de correo electrónico ayudará a frenar esta amenaza.
Dar prioridad a la seguridad de los dispositivos en el borde de la red es otra estrategia clave. Los dispositivos como VPN, enrutadores y dispositivos de transferencia de archivos deben estar en un ciclo de parches de alta urgencia. Estas tecnologías, que suelen ser la primera línea de defensa, son los objetivos principales de los atacantes y requieren atención inmediata en caso de que se identifiquen vulnerabilidades.
Preparándose para lo que está por venir
Como APT y Secuestro de datos evolucionan en sofisticación, es urgente que las organizaciones refuercen sus posturas de seguridad, priorizando prácticas fundamentales como MFA, gestión vigilante de parches y evaluaciones proactivas de vulnerabilidades. Las empresas que refuercen sus defensas y estén al tanto de las últimas tendencias tendrán más posibilidades de defenderse o disminuir el impacto de estos grupos de amenazas.
Hemos presentado la mejor eliminación de malware.
Este artículo se produjo como parte del canal Expert Insights de TechRadarPro, donde presentamos las mejores y más brillantes mentes de la industria tecnológica actual. Las opiniones expresadas aquí son las del autor y no son necesariamente las de TechRadarPro o Future plc. Si estás interesado en contribuir, descubre más aquí: https://www.techradar.com/news/submit-your-story-to-techradar-pro