El equipo de Trend Micro elaboró un trabajo de investigación para que los usuarios puedan comprender cómo funcionan las Amenazas Avanzadas Persistentes (APTs) y como éstas representan uno de los mayores retos a combatir en términos de seguridad informática corporativa.
Las Amenazas Avanzadas Persistentes (APTs) actúan de forma agresiva sobre objetivos muy concretos y de modo muy sigiloso para mantener una presencia constante dentro de las redes víctimas. Así, son capaces de moverse lateralmente dentro de la organización y extraer datos con facilidad.
“Las APTs son amenazas informáticas en ascenso. Cada día se ven más y más ataques de este estilo ya que el valor de la información que guarda una empresa es cada vez más crucial para los negocios. Hoy, este tipo de ataques se realiza con kits de exploit que se consiguen en cualquier página de las que se consideran “el mercado negro”, o “underground”, sin tener en cuenta los videos públicamente expuestos con demostraciones en entornos reales, explica Mauro Tundis Cocca, Analista Técnico de EDSI Trend Argentina.
Las 6 fases de una APT
1.- Recopilación de información: se trata de adquirir información estratégica sobre el entorno de TI objetivo y la estructura de la organización. El 31% de los empleadores plantea acciones disciplinarias ante los empleados que publiquen información confidencial en páginas de redes sociales.
2.- Punto de entrada: las APTs buscan lograr entrar en la red a través del correo electrónico, mensajería instantánea o redes sociales, explotando en su mayoría vulnerabilidades de día 0 de diferentes desarrolladores de software y sistemas. En un experimento realizado, el 87% de las organizaciones accedió a un link relacionado con un señuelo de ingeniería social.
3.- Servidor de mando y control (C&C, por sus siglas en inglés): asegurar la comunicación continua entre el host comprometido y el servidor C&C. El 70% de las redes empresariales están infectadas por malware.
4.- Movimiento lateral: localizan los hosts que alojan información sensible dentro de la red objetivo. La campaña LURID comprometió a un total de 1.465 equipos informáticos en 61 países. Por su parte, la campaña GhostNet implicó a 2.000 equipos en 103 países.
5.- Descubrir activos y datos: identificar los datos valiosos para aislarlos con el fin de proceder a futuras sustracciones de información. Los secretos empresariales comprometen dos tercios de los portafolios de información de las compañías, aunque sólo la mitad de sus presupuestos de seguridad están dedicados a protegerlos.
6.- Extracción de datos: en esta etapa se procede a transmitir la información a un lugar controlado por los responsables de las amenazas. RSA invirtió 66 millones de dólares en deshacer el daño producido al sustraerse datos de su red.