Desde hace unas semanas, en Auren hemos sido testigos de varios incidentes de seguridad especialmente sofisticados, con un vector de ataque muy similar. Se trata de ataques diseñados y ejecutados de manera muy específica, contra una entidad en concreto; lo que se viene denominando Advanced Persistent Threat (APT), una herramienta que se desarrolla específicamente para un objetivo. Al contrario de los ramsonwares tradicionales, que tenían su fuerza en una distribución masiva e indiscriminada a través de grandes difusiones de correo SPAM, con un ataque APT se busca un objetivo concreto. ¿

Cómo funciona? El atacante selecciona una lista de objetivos posibles, discriminando por nacionalidad, sector o tamaño de la empresa, por ejemplo, y realiza un exhaustivo análisis de cada uno de ellos. Una vez seleccionados aquellos que ofrezcan una mayor superficie de exposición al ataque, se inicia la primera fase del ataque.

1. Identificación de la puerta de entrada

Se realiza un estudio detallado del organigrama de la empresa, a través de la información pública que hay en internet (por ejemplo, en Linkedin) y se seleccionan aquellas personas de las que hay más información disponible. Para cada uno de ellos se analiza la información pública que existe en redes sociales y se crea un perfil.

Con esta información se seleccionan dos o tres personas de las que se haya conseguido su correo electrónico personal, sus amistades y sus temas de interés. De esta manera se prepara y envía un correo electrónico a su cuenta personal, simulando ser un amigo suyo sobre un tema de su interés del que habitualmente hablan en redes sociales.

Al tratarse de una comunicación por el correo electrónico personal, el tráfico viaja cifrado habitualmente y fuera del control de la empresa. Siendo el remitente teóricamente de confianza, no levanta sospechas. Y al ser un correo sobre un tema de interés, motiva la apertura liberando el malware que lleva adjunto.

Al ser un ataque dirigido, se ha generado un malware específico para cada ataque, realizando pequeñas modificaciones sobre los que ya existen, de forma que el antivirus del equipo no es capaz de detectarlo, al no encontrarse en su lista de firmas de virus reconocidos.

Si esta técnica no da sus frutos, se intenta acceder utilizando técnicas de ingeniería social, con una llamada en la que, haciéndose pasar por Microsoft, solicitan acceso al equipo del usuario para revisar una actualización que no ha funcionado bien. Si el usuario accede y le abre la puerta al atacante, este es libre para desplegar su malware.

2. Conseguir privilegios

Con un equipo infectado, el siguiente paso es conseguir la máxima información posible de la red de la empresa y los privilegios de administrador. Se usan distintas técnicas de análisis para recopilar la estructura de la red y de servidores, determinando donde se encuentra toda la información y los sistemas de copias de seguridad.

Por otra parte, se muestra un mensaje de error en la actualización de algún programa que tenga instalado el usuario y se solicita las credenciales de administrador para terminar la actualización correctamente. Al introducir las credenciales de administrador, el malware remite al atacante toda la información recopilada de la red, servidores y copias de seguridad, así como la contraseña de administrador y abre una puerta trasera que permite el acceso remoto del atacante.

3. El ataque

Con toda la información recopilada en la segunda fase, el ciberdelincuente se encuentra listo para realizar el ataque final. Se elige una fecha y hora cuando la empresa no esté trabajando y se disponga de tiempo para realizar la incursión. Se accede remotamente al sistema y se despliega un ramsonware, que encripta toda la información de la empresa mientras el atacante revisa los sistemas de copias de seguridad para eliminar todas las copias disponibles.

Una vez todos los datos de la empresa quedan inaccesibles, se deja un mensaje solicitando el pago para recuperar la información, usualmente en bitcoins. Dejando la empresa completamente encriptada y sin copia de seguridad, con el tremendo impacto económico que la pérdida de información puede suponer a cualquier empresa.

¿Cómo prevenir un APT?

Para poder protegerse ante ataques tan avanzados como este se deben adoptar unas medidas de seguridad que reduzcan al mínimo el riesgo. Desde Auren planteamos actuar en seis puntos clave:

1. Información y formación. Tanto para el departamento de TI, que debe estar bien formado en temas de ciberseguridad; como para toda la plantilla, que debe recibir formación específica sobre los riesgos y como detectarlos.

2. Actualizaciones de software. Una buena política de actualizaciones periódicas ayuda a reducir las vulnerabilidades de los sistemas y ofrece menos puertas de acceso a los sistemas.

3. Protección Desktop. Los antivirus basados en firmas ya no son válidos contra versiones de malware modificadas o mutantes. Implementar también un sistema de detección de malware basado en comportamiento es mucho más eficaz para los ataques modernos.

4. Firewall. Disponer de un cortafuegos con todos los servicios de seguridad bien configurados y, sobre todo, con inspección de tráfico SSL, para detener el ataque en el perímetro.

5. Copias de seguridad. Disponer de un sistema de copias de seguridad que se encuentre inaccesible desde la red corporativa y ubicado fuera de las instalaciones, es la única garantía de recuperar la información tras un ataque como este.

6. Auditorías regulares de seguridad. Revisar la seguridad de toda la infraestructura por personal experto, es la mejor forma de detectar puntos débiles y actuar sobre ellos.

Como hemos visto por nuestra experiencia, cualquier tipo de compañía es susceptible de sufrir este tipo de ataques. Por eso, desde Auren recomendamos que también las pequeñas y medianas empresas pongan en marcha medidas que les ayuden a reforzar la seguridad.