Proofpoint ha publicado una nueva investigación que desvela que las pymes de todo el mundo están cada vez más en el punto de mira de ciberdelincuentes especializados en amenazas avanzadas persistentes (APT) . Tras analizar los datos de más de 200.000 pequeñas y medianas organizaciones durante un año, han identificado a varios de estos grupos que se dirigen específicamente a ellas.
Los grupos de APT llevan a cabo campañas de phishing selectivo mucho más sofisticadas que los típicos ataques basados en el compromiso de cuentas para la distribución de malware básico. Estos ciberdelincuentes suelen estar financiados por un gobierno o entidad para conseguir un objetivo estratégico concreto mediante el espionaje, el robo de datos o una campaña de desinformación. Sin embargo, pese a contar con tantos recursos y utilizar técnicas avanzadas, estos ciberdelincuentes están muy interesados en dirigirse a empresas pequeñas e infraprotegidas, ya que son un objetivo más sencillo.
Compromiso de infraestructuras de pymes para campañas de phishing
Durante el último año, ha habido un aumento en los casos de suplantación de identidad o de compromiso de dominios pertenecientes a pymes. Estos ataques pueden haberse logrado mediante la recopilación de credenciales o, en el caso de un servidor web, mediante la explotación de una vulnerabilidad no parcheada. Una vez conseguido, la dirección de correo electrónico se utiliza para enviar mensajes maliciosos a otros objetivos. En el caso de comprometer un servidor web que aloja un dominio, el ciberdelincuente abusa de esa infraestructura legítima para alojar o entregar malware.
Un ejemplo destacado es el grupo de ciberdelincuentes TA473, también conocido como Winter Vivern, que comprometió los dominios de un fabricante de ropa artesanal con sede en Nepal y de un ortopedista estadounidense con el objetivo de entregar malware a través de campañas de phishing. Otros casos relevantes han sido la suplantación de una empresa mediana de fabricación de automóviles en Arabia Saudí atribuida al grupo TA422, también llamado APT28, y la suplantación de una empresa de representación de famosos de Estados Unidos por parte de TA499, conocido como Vovan y Lexus.
Ataques selectivos con objetivos financieros
Las amenazas observadas dirigidas a pymes del sector financiero suelen estar alineadas con los intereses de los gobiernos de Rusia, Irán o Corea del Norte. En los últimos años, se ha atacado a organizaciones de finanzas descentralizadas y tecnología blockchain para conseguir fondos con los que financiar diferentes operaciones gubernamentales.
En diciembre de 2022, Proofpoint observó que un banco digital estadounidense de tamaño mediano recibió una campaña de phishing del grupo TA444, alineado con el gobierno de Corea del Norte. En sus correos se hacían pasar por ABF Capital incluyendo una URL maliciosa que conducía a la entrega del malware CageyChameleon.
Ataques APT a la cadena de suministro
La última tendencia emergente observada entre 2022 y 2023 es el aumento de ataques a proveedores regionales de servicios gestionados (MSP) como medio para iniciar ataques a la cadena de suministro. Los MSP suelen proteger a cientos de pymes de su zona geográfica, y muchas de ellas tienen herramientas de ciberseguridad limitadas o no profesionales. Por esto, los ciberdelincuentes han visto una oportunidad en la vulnerabilidad de estas empresas para obtener acceso a los entornos de usuario final que les interesan. Proofpoint ha detectado este tipo de ataques dentro de zonas geográficas que se alinean con los intereses de recopilación estratégica de información de los países mencionados.
Por ejemplo, a mediados de enero de este año, los investigadores de Proofpoint observaron que el grupo TA450, conocido como Muddywater y atribuido al Ministerio de Inteligencia y Seguridad de Irán, se dirigía a dos MSP israelíes a través de una campaña de phishing en la que se hacían pasar por una empresa de servicios financieros.
El panorama de las APT es cada vez más complejo, lo que supone un riesgo para todas las pymes que operan en la actualidad, por lo que ninguna empresa debería pensar que por ser pequeña o poco conocida está a salvo de los ciberdelincuentes. Es recomendable que inviertan esfuerzo y recursos, tanto en tecnología para protegerse como en un programa de formación y concienciación en ciberseguridad para sus empleados.
“Las pequeñas y medianas empresas están cada vez más presentes en nuestras investigaciones sobre campañas de phishing debido a que son el objetivo de los ciberdelincuentes alineados con determinados intereses estatales”, comentan desde el equipo de investigación de Proofpoint. “Los grupos de APT se han dado cuenta de las ventajas de dirigirse a organizaciones pequeñas, tanto por la valiosa información que pueden ofrecer como por ser eslabones más débiles en la cadena de suministro. Desde Proofpoint prevemos un aumento continuado de los ataques a pymes a lo largo de 2023 procedentes de todos los atacantes APT que rastreamos”.
Más información
- 6 propuestas para responder a los retos de ciberseguridad de las pymes españolas
- 5 consejos para proteger la información de las pymes de los ciberataques
- Estrategias de ciberseguridad para pymes
- Una de cada tres pymes pierde clientes como resultado de un ciberataque
- Las tres C’s para la buena ciberseguridad: completa, consolidada y colaborativa