En un artículo anterior, compartimos las proyecciones planteadas para el comportamiento de las Amenazas Persistentes Avanzadas para este año, ahora es momento de observar a qué se dedicaron los cibercriminales durante este periodo.
Ataques multiplataforma
Los actores de ataques complejos ya no sólo están enfocados en Windows, pese a que éste sigue siendo el sistema operativo con mayor prevalencia de amenazas persistentes. En abril del 2020, los analistas de Kaspersky sacaron a la luz un framework de malware denominado MATA, el cual ya era conocido en el sistema de Microsoft pero, desde el 2020, expandió su operación a Linux y macOS. Esto ha sido posible al troyanizar una aplicación de código abierto utilizada para la autenticación de doble factor. Por otro lado, se hizo visible una operación denominada AppleJeus, la cual atacaba programas de intercambio de criptomonedas.
En su informe del tercer trimestre del año pasado, Kaspersky también detalló información sobre una campaña denominada TunnelSnake, la cual operaba desplegando herramientas de código abierto comunes para la operación red de dispositivos de Internet de las Cosas, lo que forzosamente implica que las campañas criminales están también poniendo un foco muy relevante a esta clase de dispositivos.
Amenazas a dispositivos móviles
Dado el tiempo que pasamos detrás de nuestros dispositivos móviles (Android o iOS), así como la información que almacenamos en ellos, no es de extrañarse que estas plataformas sean un foco para los cibercriminales. Durante el año pasado se observaron implantes a los sistemas móviles, los cuales tienen la capacidad de espiar a los usuarios, destacan aquellos basados en aplicaciones legítimas, como de mensajería instantánea local (en Pakistán, India y Hong Kong), así como aquellas aplicaciones, no siempre verificadas, rastreadoras de
COVID-19. Estos exploits se instalan de manera invisible en el dispositivo y permanecen ahí como un mecanismo espía. Es notable también la actividad de malware móvil bancario durante el año pasado, el cual se dedica a espiar las aplicaciones móviles de los usuarios para recabar información sensible y poder generar fraudes. Muchas de estas amenazas son incluso capaces de controlar los dispositivos de forma remota.
Amenazas persistentes y COVID-19
A raíz de la pandemia por COVID-19 y las medidas de aislamiento impuestas, los atacantes han buscado formas de beneficiarse a partir del temor de la gente. Han resaltado y aumentado las estafas por phishing que utilizan la enfermedad como una excusa para ganar dinero o implantar malware dirigido. Y no sólo a nivel de usuario: durante el primer trimestre del año pasado, Kaspersky descubrió una infraestructura que posiblemente se encuentra detrás de los ataques a sistemas de salud, humanitarios y organizaciones como la OMS. En este mismo sentido, se detectaron ataques a centro de inteligencia y supercomputación, que operan como herramientas de análisis potentes para investigar sobre el COVID-19. Muchas de estas acciones son atribuidas a un esquema de espionaje industrial patrocinado por intereses privados. Si bien, la pandemia no modificará el comportamiento de los criminales, si representa un vector de entrada para sus ataques, pues se valen de estrategias psicológicas para manipular a las personas a descargar archivos o proveer de datos sensibles a partir del miedo que la enfermedad les impone.
Respuesta a Incidentes: vigilancia ante las amenazas más complejas
La Respuesta a Incidentes debe de observar, vigilar y actuar al interior de toda tu infraestructura de TI, desde los puntos finales y servidores, hasta los dispositivos de IoT, con el fin de salvaguardarte incluso de aquellas amenazas que aparentemente tienen baja latencia. Muchas de las estrategias actuales se basan en ataques que, si bien, no son arquitectónicamente complejos, funcionan de tal forma que pasan desapercibidos por los sistemas de detección usuales, además de que llegan de formas no convencionales —documentos de word, mensajes de texto, etc. La mentalidad de los criminales se podría resumir como "es suficiente con que funcione", es por ello que tu plan de protección debe ir un paso más allá: no sólo debe funcionar, también debe prevenir, de forma proactiva, las amenazas latentes en tu red.
No hay mejor plan que aquel que te brinda la capacidad de actuar ante un incidente y poder resguardar tu arquitectura de forma global.
El Centro de Respuesta a Incidentes de Nordstern ha sido reconocido por Kaspersky, volviéndolo el primero en el continente americano y el tercero a nivel mundial avalado por la marca líder en Ciberseguridad.
Si crees que has sido víctima de un ciberataque o quieres proteger de forma proactiva los activos de tu organización, contacta a uno de nuestros expertos, quien te ayudará a implementar una solución apegada a tus necesidades.
Da clic en la siguiente imagen:
Fuente:
https://securelist.lat/apt-annual-review-what-the-worlds-threat-actors-got-up-to-in-2020/91966/