Los grupos de amenazas persistentes avanzadas centran más sus objetivos de ataque hacia las pymes

Proofpoint ha revelado una investigación reciente que muestra que las pequeñas y medianas empresas (pymes) a nivel global están cada vez más en la mira de ciberdelincuentes expertos en amenazas persistentes avanzadas (APT, por sus siglas en inglés). A partir de la evaluación de datos correspondientes a más de 200,000 organizaciones de tamaño pequeño y mediano a lo largo de un año, han detectado varios grupos de este tipo que se enfocan específicamente en dichas empresas, incluyendo algunos que se alinean con los intereses de los gobiernos de Rusia, Irán y Corea del Norte.

Los grupos APT ejecutan campañas de phishing selectivo de una sofisticación mucho mayor a los ataques comunes basados en la comprometición de cuentas para la distribución de malware básico. Estos ciberdelincuentes suelen estar respaldados por un gobierno o entidad para lograr un objetivo estratégico específico, ya sea mediante el espionaje, el robo de datos o una campaña de desinformación. No obstante, a pesar de disponer de abundantes recursos y de usar técnicas avanzadas, estos ciberdelincuentes muestran un notable interés en dirigir sus ataques a pequeñas empresas con protección insuficiente, dado que resultan ser un blanco más fácil.

Compromiso de infraestructuras de pymes para campañas de phishing

Durante el último año, ha habido un aumento en los casos de suplantación de identidad o de compromiso de dominios pertenecientes a pymes. Estos ataques pueden haberse logrado mediante la recopilación de credenciales o, en el caso de un servidor web, mediante la explotación de una vulnerabilidad no parcheada. Una vez conseguido, la dirección de correo electrónico se utiliza para enviar mensajes maliciosos a otros objetivos. En el caso de comprometer un servidor web que aloja un dominio, el ciberdelincuente abusa de esa infraestructura legítima para alojar o entregar malware.

Un ejemplo destacado es el grupo de ciberdelincuentes TA473, también conocido como Winter Vivern, que comprometió los dominios de un fabricante de ropa artesanal con sede en Nepal y de un ortopedista estadounidense con el objetivo de entregar malware a través de campañas de phishing. Otros casos relevantes han sido la suplantación de una empresa mediana de fabricación de automóviles en Arabia Saudí atribuida al grupo TA422, también llamado APT28, y la suplantación de una empresa de representación de famosos de Estados Unidos por parte de TA499, conocido como Vovan y Lexus.

Ataques selectivos con objetivos financieros

Las amenazas observadas dirigidas a pymes del sector financiero suelen estar alineadas con los intereses de los gobiernos de Rusia, Irán o Corea del Norte. En los últimos años, se ha atacado a organizaciones de finanzas descentralizadas y tecnología blockchain para conseguir fondos con los que financiar diferentes operaciones gubernamentales.

En diciembre de 2022, Proofpoint observó que un banco digital estadounidense de tamaño mediano recibió una campaña de phishing del grupo TA444, alineado con el gobierno de Corea del Norte. En sus correos se hacían pasar por ABF Capital incluyendo una URL maliciosa que conducía a la entrega del malware CageyChameleon.

Ataques APT a la cadena de suministro

La última tendencia emergente observada entre 2022 y 2023 es el aumento de ataques a proveedores regionales de servicios gestionados (MSP) como medio para iniciar ataques a la cadena de suministro. Los MSP suelen proteger a cientos de pymes de su zona geográfica, y muchas de ellas tienen herramientas de ciberseguridad limitadas o no profesionales. Por esto, los ciberdelincuentes han visto una oportunidad en la vulnerabilidad de estas empresas para obtener acceso a los entornos de usuario final que les interesan. Proofpoint ha detectado este tipo de ataques dentro de zonas geográficas que se alinean con los intereses de recopilación estratégica de información de los países mencionados.

Por ejemplo, a mediados de enero de este año, los investigadores de Proofpoint observaron que el grupo TA450, conocido como Muddywater y atribuido al Ministerio de Inteligencia y Seguridad de Irán, se dirigía a dos MSP israelíes a través de una campaña de phishing en la que se hacían pasar por una empresa de servicios financieros.

El panorama de las APT es cada vez más complejo, lo que supone un riesgo para todas las pymes que operan en la actualidad, por lo que ninguna empresa debería pensar que por ser pequeña o poco conocida está a salvo de los ciberdelincuentes. Es recomendable que inviertan esfuerzo y recursos, tanto en tecnología para protegerse como en un programa de formación y concienciación en ciberseguridad para sus empleados.

Scroll al inicio