Las pymes y los MSP, objetivo de grupos de APT
La investigación muestra un cambio hacia actores de amenazas persistentes avanzadas que comprometen a organizaciones más pequeñas, en parte para permitir otros ataques.
Antes, los ataques de amenazas persistentes avanzadas (APT) preocupaban principalmente a las grandes empresas de sectores que presentaban interés para el ciberespionaje. Eso ya no es así y, sobre todo en el último año, el número de este tipo de ataques patrocinados por el Estado contra pequeñas y medianas empresas ha aumentado significativamente.
La empresa de ciberseguridad Proofpoint analizó sus datos telemétricos de más de 200.000 clientes de pymes durante el año pasado y observó un aumento de las campañas de phishing originadas por grupos APT, en particular los que sirven a intereses rusos, iraníes y norcoreanos.
El objetivo final de los ataques variaba desde el espionaje y el robo de propiedad intelectual hasta acciones destructivas, robos financieros y campañas de desinformación. Las pymes se ven comprometidas para que los atacantes puedan suplantar su identidad en otros ataques y abusar de su infraestructura.
"Muchas organizaciones que intentan proteger su red a menudo se centran en el compromiso del correo electrónico empresarial (BEC), los actores cibercriminales, el ransomware y las familias de malware de productos básicos que se encuentran comúnmente en los correos electrónicos recibidos diariamente por millones de usuarios en todo el mundo", dijeron los investigadores de Proofpoint en su informe.
"Menos común, sin embargo, es el conocimiento generalizado de los actores de amenazas persistentes avanzadas y las campañas de phishing dirigidas que llevan a cabo. Estos hábiles actores de amenazas son entidades bien financiadas asociadas a una misión estratégica concreta".
Secuestro de infraestructuras por grupos APT
Los grupos APT son conocidos por sus correos electrónicos de phishing altamente selectivos y bien elaborados que son el resultado de una profunda investigación de sus objetivos previstos.
Estos grupos disponen del tiempo y los recursos necesarios para buscar perfiles de empleados en LinkedIn, conocer las funciones y los departamentos dentro de las organizaciones, identificar a contratistas externos y socios comerciales, comprender los temas, sitios web y eventos que serían de interés para sus objetivos y mucho más.
Este tipo de información es vital para elaborar señuelos de correo electrónico creíbles, pero lo que es aún más eficaz es que los objetivos reciban dichos correos electrónicos de empresas que conocen o enlaces a sitios web de los que no tienen motivos para sospechar.
Proofpoint ha observado un número creciente de casos en los que grupos de APT comprometen cuentas de correo electrónico asociadas a pymes o a sus servidores web. Las técnicas utilizadas incluyen la recolección de credenciales o el aprovechamiento de vulnerabilidades no parcheadas.
"Una vez logrado el ataque, la dirección de correo electrónico se utilizaba para enviar mensajes maliciosos a otros objetivos", explican los investigadores. "Si un actor comprometía un servidor web que alojaba un dominio, abusaba de esa infraestructura legítima para alojar o enviar malware malicioso a un tercero".
Un grupo prominente que utiliza este tipo de tácticas es conocido en la industria de la seguridad como Winter Vivern, TA473 o UAC-0114, y se cree que sirve a los intereses de Rusia sobre la base de su selección de objetivos y la ubicación de las agencias gubernamentales de Europa y los EE.UU. con un fuerte enfoque en los países que ofrecieron asistencia a Ucrania en el conflicto en curso.
Según los datos de Proofpoint, este grupo envió correos electrónicos de phishing a sus objetivos desde sitios web de WordPress comprometidos y utilizó dominios comprometidos pertenecientes a pymes para alojar cargas útiles de malware.
"En particular, este actor ha comprometido los dominios de un fabricante de ropa artesanal con sede en Nepal y un ortopedista con sede en el área triestatal de EE.UU. para entregar malware a través de campañas de phishing", dijeron los investigadores.
Otro grupo APT ruso que se hizo pasar por pymes en sus campañas de phishing es APT28, que se cree que es el brazo de hacking del servicio de inteligencia militar ruso, el GRU.
En una campaña dirigida a entidades ucranianas, así como a otros objetivos en Europa y Estados Unidos, el grupo se hizo pasar por una mediana empresa del sector de la fabricación de automóviles con sede en Arabia Saudí.
Un grupo rastreado como TA499, Vovan y Lexus, que se cree que está patrocinado por el gobierno ruso, tenía como objetivo una mediana empresa que representa a grandes celebridades en Estados Unidos.
El objetivo de la campaña era convencer a una celebridad estadounidense para que mantuviera una conferencia telefónica de temática política sobre el conflicto ucraniano con el supuesto presidente ucraniano Volodymyr Zelensky.
Las APT también necesitan dinero
Los grupos APT se han dedicado históricamente a realizar ataques cuyos objetivos han sido el robo de información sensible o el sabotaje. Robar dinero nunca ha sido una de sus prioridades, salvo contadas excepciones: los grupos de países sometidos a severas sanciones económicas, como Corea del Norte.
"En los últimos años, los actores de APT alineados con Corea del Norte han atacado instituciones de servicios financieros, finanzas descentralizadas y tecnología de cadena de bloques con el objetivo de robar fondos y criptomonedas", afirman los investigadores de Proofpoint. "Estos fondos se utilizan en gran medida para financiar diferentes aspectos de las operaciones gubernamentales de Corea del Norte".
En diciembre, un grupo APT norcoreano lanzó un ataque basado en correo electrónico contra una institución bancaria digital de tamaño medio de los Estados Unidos con el objetivo de distribuir una carga útil de malware llamada CageyChameleon. Los correos electrónicos falsos se hacían pasar por ABF Capital e incluían una URL maliciosa que iniciaba la cadena de infección.
Llegar a las pymes a través de la cadena de suministro de servicios
Las pymes también son objetivo de los grupos APT de forma indirecta, a través de los proveedores de servicios gestionados (MSP) que mantienen su infraestructura. Proofpoint ha observado un aumento de los ataques contra los MSP regionales porque sus defensas de ciberseguridad podrían ser más débiles que las de los MSP más grandes y, sin embargo, siguen prestando servicio a cientos de pymes en zonas geográficas locales.
En enero, MuddyWater, un grupo APT atribuido al Ministerio de Inteligencia y Seguridad de Irán, atacó a dos MSP y empresas de soporte de TI israelíes a través de correos electrónicos que contenían URL a un archivo ZIP que contenía un instalador para una herramienta de administración remota.
Los mensajes se enviaron desde una cuenta de correo electrónico comprometida de una mediana empresa de servicios financieros con sede en Israel. En otras palabras, este es el caso de un compromiso SMB que se aprovecha para apuntar a los MSP con el objetivo probable de obtener acceso a más redes SMB.
"Los datos de Proofpoint del año pasado indican que varias naciones y conocidos actores de amenazas APT se están centrando en las pequeñas y medianas empresas junto con gobiernos, ejércitos y grandes entidades corporativas", concluyen los investigadores.
"A través del compromiso de la infraestructura de pequeñas y medianas empresas para su uso contra objetivos secundarios, el robo financiero alineado con el estado y los ataques regionales a la cadena de suministro de MSP, los actores APT representan un riesgo tangible para las pymes que operan hoy en día."
