Los grupos de amenazas persistentes avanzadas se ceban con las pymes

Gestión de la seguridadSeguridad

Según Proofpoint, existen varios grupos APT asociados a gobiernos que apuntan específicamente contra las pequeñas y medianas empresas.

Las pymes son un objetivo cada vez más recurrente para los ciberdelincuentes de todo tipo y condición. Incluso se han convertido en la diana de los llamados grupos de amenazas persistentes avanzadas (APT).

Los grupos de APT llevan a cabo campañas de phishing selectivo mucho más sofisticadas que los típicos ataques basados en el compromiso de cuentas para la distribución de malware básico. Estos ciberdelincuentes suelen estar financiados por un gobierno o entidad para conseguir un objetivo estratégico concreto mediante el espionaje, el robo de datos o una campaña de desinformación.

La firma de ciberseguridad y cumplimiento normativo Proofpoint es quien ha descubierto el interés de estos ciberdelincuentes por las pequeñas y medianas empresas tras una investigación. Afirman que les atraen porque son un objetivo más sencillo al estar infraprotegidas.

Tras analizar los datos de más de 200.000 pequeñas y medianas organizaciones durante un año, la compañía identificado a varios de estos grupos que se dirigen específicamente a ellas, incluyendo algunos alineados con los intereses de los gobiernos ruso, iraní y norcoreano.

Más phising centrado en pymes

Durante el último año se habría dado un aumento en los casos de suplantación de identidad o de compromiso de dominios pertenecientes a pymes.

Estos ataques pueden haberse logrado mediante la recopilación de credenciales o, en el caso de un servidor web, mediante la explotación de una vulnerabilidad no parcheada. Una vez conseguido, la dirección de correo electrónico se utiliza para enviar mensajes maliciosos a otros objetivos. En el caso de comprometer un servidor web que aloja un dominio, el ciberdelincuente abusa de esa infraestructura legítima para alojar o entregar malware.

Un ejemplo destacado sería el grupo TA473, también conocido como Winter Vivern, que comprometió los dominios de un fabricante de ropa artesanal con sede en Nepal y de un ortopedista estadounidense con el objetivo de entregar malware a través de campañas de phishing.

Otros casos relevantes han sido la suplantación de una empresa mediana de fabricación de automóviles en Arabia Saudí atribuida al grupo TA422, también llamado APT28, y la suplantación de una empresa de representación de famosos de Estados Unidos por parte de TA499, conocido como Vovan y Lexus.

El dinero, motivación principal

Las amenazas observadas dirigidas a pymes del sector financiero suelen estar alineadas con los intereses de los gobiernos de Rusia, Irán o Corea del Norte. En los últimos años, se ha atacado a organizaciones de finanzas descentralizadas y tecnología blockchain para conseguir fondos con los que financiar diferentes operaciones gubernamentales.

En diciembre de 2022, Proofpoint observó que un banco digital estadounidense de tamaño mediano recibió una campaña de phishing del grupo TA444, alineado con el gobierno de Corea del Norte. En sus correos se hacían pasar por ABF Capital incluyendo una URL maliciosa que conducía a la entrega del malware CageyChameleon.

La última tendencia emergente observada entre 2022 y 2023 es el aumento de ataques a proveedores regionales de servicios gestionados (MSP) como medio para iniciar ataques a la cadena de suministro. Los MSP suelen proteger a cientos de pymes de su zona geográfica, y muchas de ellas tienen herramientas de ciberseguridad limitadas o no profesionales.

Por esto, los ciberdelincuentes han visto una oportunidad en la vulnerabilidad de estas empresas para obtener acceso a los entornos de usuario final que les interesan. Proofpoint ha detectado este tipo de ataques dentro de zonas geográficas que se alinean con los intereses de recopilación estratégica de información de los países mencionados.

Por ejemplo, a mediados de enero de este año, los investigadores de Proofpoint observaron que el grupo TA450, conocido como Muddywater y atribuido al Ministerio de Inteligencia y Seguridad de Irán, se dirigía a dos MSP israelíes a través de una campaña de phishing en la que se hacían pasar por una empresa de servicios financieros.

“Las pequeñas y medianas empresas están cada vez más presentes en nuestras investigaciones sobre campañas de phishing debido a que son el objetivo de los ciberdelincuentes alineados con determinados intereses estatales”, comentan desde el equipo de investigación de Proofpoint.

“Los grupos de APT se han dado cuenta de las ventajas de dirigirse a organizaciones pequeñas, tanto por la valiosa información que pueden ofrecer como por ser eslabones más débiles en la cadena de suministro. Desde Proofpoint prevemos un aumento continuado de los ataques a pymes a lo largo de 2023 procedentes de todos los atacantes APT que rastreamos”, añade.