El nuevo “look” de las amenazas: APTs
María Ramírez Fernández, Senior Presales Engineer de Trend Micro, explica en este artículo en qué consisten las amenazas ADP y qué les hace ser tan peligrosas.
Se define como APTs (Advanced Persistent Threats) a un tipo sofisticado de ataques que crea uno de los más importantes peligros hoy en día en las comunicaciones. Su crecimiento está siendo realmente rápido y las empresas y organizaciones de cualquier tipo y condición se están enfrentando a las mismas desde hace un tiempo. Aquellas compañías que hacen uso de la tecnología en la nube son las más afectadas.
Organismos públicos, militares y políticos, empresas privadas de cualquier tipo… Nadie está libre de verse perjudicado por estas amenazas. Este tipo de malware no es nuevo, pero últimamente está incrementando su presencia ya que aprovecha conexiones sociales de confianza, muy utilizadas por todo el mundo en estos últimos años. El malware APT es complejo y es ejecutado por hackers pacientes y con iniciativa. Sus vectores de ataque no difieren mucho de los vectores utilizados en otros tipos de amenazas, pero ahora la motivación y las mejoras de los recursos para infectar y afectar que tienen los ciberdelincuentes hacen que esta modalidad de amenazas sea mucho más dañina y eficiente.
La capacidad de mutación que tienen las APTs es sorprendente. En muy poco tiempo estos malwares son capaces de cambiar de comportamiento y de poner en peligro de forma muy distinta a los sistemas. Esto hace que sea muy complicado detectarlas en tiempo real. La detección de este tipo de amenazas mediante el uso de soluciones de seguridad convencionales es prácticamente imposible por las características descritas.
Los rasgos que distinguen una APT de otro tipo de amenazas son:
1. Que son ataques personales dirigidos hacia una víctima concreta. Objetivos comerciales, de seguridad o políticos son los más amenazados.
2. Se aprecia una gran persistencia con este tipo de ataques: aunque la amenaza no afecte en primera instancia al objetivo deseado, el hacker no se rinde y seguirá insistiendo en el proceso de infección hasta que lo consiga.
3. Intereses comerciales: no interesan tanto los datos, sino que las APTs lo que van buscando es una forma de lucrar al hacker
4. El tiempo y el dinero que el hacker tenga que emplear en la creación de una APT eficaz no es de importancia. El objetivo está prefijado y hay que conseguirlo.
5. El hacker suele automatizar la acción de la APT para que él solo, siguiendo unos pasos programados llegue a ejecutar su acción.
6. En la organización que desarrolla una APT la estructura debe ser lineal y única. No hay grupos de hackers distribuidos para desarrollar una mismo APT y esto también dificulta el descubrimiento de este tipo de malwares.
Desde 2010, las APTs se han ido desarrollando de forma cada vez más compleja. Las amenazas que hasta ahora se han dado empezaban a trabajar recolectando información de las redes, detectando vulnerabilidades; sin embargo, una APT es una amenaza especial que nace y se desarrolla basándose en la parte humana de la empresa recogiendo información de los trabajadores. Las personas son los puntos “débiles” de las empresas y es más fácil atravesar la barrera que ellos ponen a las amenazas que las barreras de hardware y software como un firewall, un IPS/IDS u otro sistema informático.
Las APTs tratan de aprovecharse de los recursos y privilegios que tienen las personas. Además utilizan firmas de ataque únicas y muy creativas. Es muy difícil correlacionar las trazas de este tipo de malware por su variedad en el comportamiento. Asimismo, utilizan otro tipo de amenazas para distribuirse y desplazarse entre redes; se están dando muchos casos de APTs que viajan en botnets para extenderse entre distintas redes aunque éstas estén muy alejadas o distribuidas.
Por otro lado, se debe tener en cuenta que las APTs suelen presentarse de forma cifrada, comprimida y enmascarada dentro de las aplicaciones comprometidas, lo cual también dificulta mucho su detección. Y lo que especialmente hace que las APTs sean muy complejas a la hora de detectarse es que están diseñadas por expertos para evitar que estas amenazas puedan ser descubiertas por soluciones como sistemas de detección de intrusiones, etc.
Lo más llamativo es que hay hackers que incluso hacen compilaciones de APTs especiales para una víctima concreta. Es decir: que hay ataques de este tipo creados para destinatarios concretos. Como si una infección sólo pudiera tener efecto en un destinatario concreto, pero no en otros.
Esto nos hace pensar que las amenazas se pueden llegar a hacer tan complejas como el diseñador de las mismas quiera. ¿Llegará el momento en el que los hackers se dediquen a diseñar ataques personalizados para cada objetivo a infectar? Esto supondría un nuevo reto para las firmas fabricantes de soluciones antimalware: desarrollo de patrones antimalware a medida para cada tipo de ataque.
Gracias a la tecnología de seguridad basada en la nube, las firmas de detección de malware pueden ser publicadas sin demoras y la detección es más rápida y eficaz. Pero tenemos que seguir estando al acecho, estudiando qué se está “cociendo” en el entorno de los diseñadores de malware para poder ir a su lado en esta carrera tan rápida y agotadora.