Si notas que dispositivo ingresa a sitios Web que tu desconoces, como de apuestas, adultos o de malware, es probable que tengas un ataque APT.
Una Amenaza Persistente Avanzada (APT) es una forma sutil de señalar que una persona u empresa ha sido el blanco específico de un ataque malicioso, ya sea un grupo de hackers sofisticados que ejecutan una campaña de robo de propiedad intelectual y buscan comprometer redes gubernamentales y comerciales.
Para estar alerta de cómo funciona un ataque APT, CheckPoint presenta la siguiente información:
- Reconoce el blanco. Lo primero en un ataque APT es buscar datos públicos disponibles sobre empleados específicos. Para esto, las redes sociales como LinkedIn, Facebook y los motores de búsqueda como Google siempre son los favoritos.
- Intrusión inicial. Con la información recaudada de las redes sociales sobre una persona en específico los atacantes pueden enviar a ese usuario un correo electrónico de Spear Phishing, por ejemplo un mensaje particular que intenta convencer al blanco de abrir un vínculo URL para ganar acceso y divulgar información. Frecuentemente el correo electrónico utiliza contenido relevante para el blanco; si la víctima está en el departamento financiero puede dar consejos sobre controles regulatorios.
- Ingresa por la puerta trasera. El próximo paso en una APT típica es instalar algún tipo de herramienta de administración remota (RAT) que permite al hacker controlar la máquina.
- Gana mayor acceso. Al configurar el acceso remoto el atacante comenzará a robar nombres de usuario y contraseñas y a buscar cuentas de usuarios con grandes privilegios.
- Realiza exfiltración de datos. El hacker intenta enviar datos comprometidos de forma codificada y comprimida a través de servidores con fachada de regreso. El término Exfiltración se utiliza para describir el hecho de sacar datos de un lugar, en lugar de tratar de infiltrarlo.
- Echa raíces. Por último el atacante instalará más RATs y es posible que mande actualizaciones al malware para mejorar su capacidad de permanecer bajo el radar.
Existen cinco tipos de comportamiento que pueden ayudar a detectar sí un dispositivo pudiera estar infectado con una APT:
1. El malware generalmente tratará de conectarse a anfitriones inexistentes vía Internet. Si experimenta una serie de conexiones fallidas a Internet este puede ser un síntoma de una infección de malware.
2. Un anfitrión que instala una aplicación P2P se puede considerar peligroso para una empresa. Por favor revise las políticas de su compañía relacionadas con aplicaciones autorizadas.
3. Múltiples visitas a sitios de países con mucha piratería es una señal de alto riesgo. Verifique esos sitios con una lista de su compañía para identificar direcciones legítimas.
4. Cuando un dispositivo comienza a escuchar en un puerto para recibir una conexión exterior pero no ha empezado esa conexión esto puede ser una infección APT.
5. Si el dispositivo visita sitios de apuestas, adultos o de malware conocidos al conectarse a Internet puede ser un síntoma de una infección APT.
Para mitigar los riesgos de los ATP, Check Point recomienda utilizar Threat Emulation que previene las amenazas al vetar los archivos descargados y anexos de correo comunes como PDFs y archivos de Microsoft Office. Los archivos sospechosos se abren dentro de la caja de arena del software blade Emulación de Amenazas y se monitorean simultáneamente para ver su comportamiento. Si los archivos son maliciosos se bloquean en el gateway.