Mientras que las empresas se centran en Business Email Compromise (BEC), Secuestro de datosy el malware básico, una importante ciberamenaza se está moviendo justo debajo de su radar: los actores de Amenaza Persistente Avanzada (APT).
En un nuevo informe de investigadores de seguridad cibernética, Proofpoint argumenta que múltiples actores de APT están apuntando específicamente a las PYMES, con objetivos que van desde el espionaje cibernético hasta el robo de propiedad intelectual (IP), desde campañas de desinformación hasta comportamientos totalmente destructivos.
En algunos casos, las APT también buscan dinero, especialmente cuando se dirigen a empresas de blockchain y soluciones de finanzas descentralizadas (DeFi).
intereses alineados
Tampoco es raro que estas APT tengan «intereses alineados» con países como Rusia, Irán o Corea del Norte, agregaron los investigadores. Estos grupos también son adversarios bastante formidables, afirma el informe.
Los investigadores los describen como «actores de amenazas calificados», que están bien financiados y tienen un objetivo claro en mente. Su modus operandi suele incluir el phishing. En primer lugar, suplantarían o se harían cargo de un dominio SMB o una dirección de correo electrónico y luego lo usarían para enviar un correo electrónico malicioso a objetivos posteriores.
Si un APT comprometió un servidor web que aloja un dominio, lo usará para alojar o entregar, malware a objetivos de terceros.
Uno de esos grupos es TA473, también conocido como Winter Vivern. Se observó que este APT se dirigía a entidades gubernamentales de EE. UU. y Europa con correos electrónicos de phishing entre noviembre de 2022 y febrero de 2023. El grupo había usado correos electrónicos provenientes de dominios alojados en WordPress sin parches o no seguros para atacar a sus víctimas. También usó servidores de correo web Zimbra sin parches para comprometer cuentas de correo electrónico de entidades gubernamentales.
Cuando todo está dicho y hecho, el panorama del phishing APT se está volviendo «cada vez más complejo», dicen los investigadores, y agregan que los actores de amenazas están «buscando ávidamente» apuntar a las PYMES vulnerables y los MSP regionales.
