El trono del grupo APT más avanzado aún no tiene un ganador

Hasta hace poco tiempo manejábamos una frontera bien definida entre los grupos de hackers soportados por naciones y los cibercriminales. Los primeros poseían skills técnicos muy superiores, generando operaciones complejas, evasivas y sutiles, que eran detectadas varios meses o incluso años después, alcanzando hasta un 100% de efectividad.

En cambio, los cibercriminales, con menores skills técnicos y soportados principalmente por el uso del malware, tenían que lidiar con el descubrimiento de sus campañas, ajustando sus técnicas de ataque y evasión, montando nueva infraestructura, modificando su código y estrategias continuamente. En este blog analizaremos como esto parece haber cambiado.

tronoEn el último tiempo, los diferentes grupos cibercriminales han demostrado ser altamente efectivos, con skills técnicos avanzados, llegando a gran cantidad de objetivos con una eficiencia operacional altísima. El hecho de ofrecer malware como servicio, como el RaaS, ha incorporado a la ecuación un sistema de afiliados que no solo hacen escalar la problemática, sino que también incorpora el componente humano en la primera línea de ataque. De esta forma se articulan una serie de técnicas según la realidad de cada objetivo, resultando, cada campaña en una operación diferente.

 

 

Quizás te interese seguir leyendo

Cómo lograr una mirada más amplia de la seguridad de mi empresa

 

 

Las diferencias

different-sport-shoes-P22739PEn la infraestructura de ataque utilizada por ambos grupos vemos diferencias fundamentales. Los hackers soportados por naciones, actúan bajo campañas específicas, no requieren de grandes despliegues, el malware utilizado es de uso único, muy evasivo, y cuando finalizan su operación todo parece ser desechable, con el fin de no dejar ningún rastro que permita a los analistas atribuir el ataque a alguna nación. 

En contraste, los grupos cibercriminales, han optado por una mejora importante en la resiliencia de la infraestructura utilizada para completar el ataque. Mediante una serie de técnicas han logrado ocultar servidores de comando y control, sistemas de almacenamiento y otros servicios clave en infraestructura pública de nube, logrando resistir por largo tiempo. Así, registran cientos de nuevos dominios para evitar ser detectados, por lo tanto, sus costos operativos son mayores, ya que el malware utilizado debe soportar múltiples usos.

Si realizáramos una comparación, lo único que está diferenciando a estos grupos de los soportados por naciones, es su motivación, donde claramente lo monetario viene siendo la principal razón de existencia de los grupos cibercriminales.

Si consideramos la frecuencia de los ataques de los grupos cibercriminales, probablemente para la mayoría de las empresas el riesgo de ser atacados por un grupo de éstos será mucho mayor a un escenario de un grupo soportado por naciones. La velocidad para lograr el objetivo también es un diferenciador, y es lo que está generando mayor preocupación en la industria de ciberseguridad, puesto que ha sido complejo defenderse de estos actores maliciosos.

 

us-army-ranger-with-weapon-PVJ2LEX

 

Grupos comando

Si realizáramos una analogía, el escenario resulta muy preocupante, ya que no estamos enfrentando a un solo gran ejército en una campaña global, sino a una serie de grupos comando con misiones específicas utilizando tácticas, técnicas y armamento muy moderno. 

 

 

Sigue leyendo

¿Ransomware o APT? Tendencias y recomendaciones para combatirlos

 

Parece ser que ha llegado el momento de modernizar la estrategia de ciberseguridad, actualizando las tecnologías tradicionales y priorizando actividades de seguridad proactivas y ofensivas, tales como el Threat Hunting, Pentesting y Ethical Hacking.

 

¿Desarrolla actividades proactivas y ofensivas de seguridad? ¿Le gustaría conocer más?

Quiero hablar con un experto

Back to Blog