Los ciberdelincuentes intentan cada vez más encontrar formas de eludir la seguridad, la detección, la inteligencia y los controles a medida que las APT comienzan a fusionarse con el ciberdelito convencional.
Las APT (Amenazas Persistentes Avanzadas) representan una seria preocupación para los defensores de la ciberseguridad actual. A diferencia de los atacantes convencionales, los actores detrás de las APT emplean tácticas altamente complejas y persistentes en sus intentos de comprometer redes. Su enfoque puede incluir el uso de software avanzado, como troyanos, y la implementación de técnicas de espionaje a largo plazo que involucran a múltiples individuos dentro de una organización.
Aunque las APT suelen centrarse en empresas destacadas, infraestructuras críticas y gobiernos, se ha observado un aumento en su utilización dirigida hacia otros tipos de objetivos, incluso por parte de organizaciones criminales tradicionales. La evolución de estas amenazas es evidente, y los ciberdelincuentes están aprendiendo de sus técnicas y aplicándolas en otros métodos de ataque.
El Desarrollo Continuo de las Amenazas Persistentes Avanzadas
El malware Wiper es un ejemplo claro de cómo se están fusionando las tácticas típicas de las APT y los delitos cibernéticos convencionales. Las herramientas de limpieza, que antes eran características de actores estatales, ahora se utilizan más ampliamente. Mientras que los grupos criminales tradicionales suelen propagar ransomware, el malware de limpieza ha experimentado un resurgimiento, aumentando su actividad en un 53% entre el tercer y cuarto trimestre de 2022, y se ha expandido a nuevas regiones.
Aunque el malware de limpieza se originó con actores APT de estados-nación, especialmente relacionados con el conflicto entre Rusia y Ucrania, ahora se está utilizando a nivel global. Los ciberdelincuentes lo incorporan en su creciente infraestructura de ciberdelincuencia como servicio (CaaS). Esto significa que la amenaza del malware de limpieza se ha vuelto más generalizada, y todas las empresas están en riesgo. Además, los ciberdelincuentes están desarrollando sus propias herramientas de limpieza, que pueden usarse fácilmente en organizaciones CaaS.
No Solo los Limpiaparabrisas, Otros Actores Siguen el Modelo de las APT
Además de las amenazas convergentes para lograr objetivos más destructivos, se está observando un cambio en el panorama del cibercrimen hacia manuales de ataque más específicos. Esto marca una desviación de la norma, ya que suelen ser los grupos APT los que se destacan por sus manuales detallados.
Dos desarrollos relevantes destacan en este contexto. En primer lugar, la organización SideCopy APT, vinculada a Transparent Tribe, ha estado operando de manera discreta y utiliza tácticas similares, e incluso en ocasiones, las mismas infraestructuras que Transparent Tribe. Su nombre proviene de la adopción de una cadena de infección previamente utilizada por el grupo indio SideWinder. Aunque SideCopy se enfoca principalmente en sistemas Windows, también se han registrado infecciones en computadoras Mac y Linux con malware.
En segundo lugar, Donot APT, conocido como SectorE02 y APT-C-35, ha estado activo desde al menos 2016, dirigiéndose a empresas y personas en Sri Lanka, Bangladesh, Nepal y Pakistán a través de correos electrónicos de phishing que contienen documentos maliciosos. A principios de 2023, este grupo adoptó la estrategia de utilizar “maldocs”, y aunque la mayoría de estos documentos tienen su origen en 2021, todos están relacionados con dominios registrados en los últimos 30 días. Esto sugiere que Donot APT recicló documentos maliciosos previamente creados para sus campañas de febrero y marzo de 2023.
Estar al Frente de la Continua Evolución
A medida que las APT se fusionan con el cibercrimen convencional, los ciberdelincuentes buscan constantemente formas de evadir medidas de seguridad y detección. Dedican más tiempo al reconocimiento y aprovechan tecnologías emergentes como armas en sus ataques, que están volviéndose más precisos y específicos.
La protección contra esta actividad no tiene una respuesta única o solución rápida, a diferencia de otros problemas de seguridad. Una estrategia efectiva implica la detección proactiva basada en el comportamiento, respaldada por datos de amenazas en tiempo real. Esto proporciona a las organizaciones inteligencia crucial para defenderse contra las tácticas de los actores de amenazas. La seguridad de las redes híbridas requiere plataformas cibernéticas integradas, impulsadas por IA y aprendizaje automático, con capacidades avanzadas de detección y respuesta, respaldadas por inteligencia de amenazas práctica.
Ya sea que los usuarios estén en el lugar de trabajo o trabajando de forma remota, el acceso a la red de confianza cero (ZTNA) es esencial para garantizar la seguridad en el acceso a las aplicaciones, independientemente de dónde se realice el trabajo o el aprendizaje.
La Estrategia del Defensor
Debido al crecimiento de los servicios de ciberdelincuencia como servicio (CaaS), los equipos de seguridad se verán desafiados por un aumento en la cantidad de amenazas cada vez más complejas y con variantes nuevas. Las organizaciones deben enfocarse en la integración de sus soluciones de seguridad y en la implementación de sus propias estrategias y herramientas, como se detalló previamente, para proteger sus redes contra la evolución de las amenazas persistentes avanzadas.
Fuente: securityweek