Similitudes y diferencias entre un APT y un AVT

De modo generalizado, podemos indicar que los ataques como APT y AVT tiene como objetivo común el robo de información muy valiosa o sabotaje de infraestructuras críticas. También existe la idea de que si los atacantes persisten en el análisis de todos los vectores, es solo una cuestión de tiempo a que la operación sea exitosa.

En ambos casos, los medios de infiltración son similares y comprenden la Ingeniería Social, el uso de exploits y malware avanzado.

Sin embargo, no todo el mundo conoce las diferencias entre APT y un AVT, en las siguientes líneas profundizaremos sobre estos tipos de ataques.

Entendiendo qué es un APT

Por definición, APT es un acrónimo para Advanced Persistent Threat (Amenaza Persistente Avanzada), la cual está ligada a ataques dirigidos con un alto nivel de complejidad explotando diversos vectores de intrusión. Este término comenzó a utilizarse luego de que se detectó un ataque de una unidad militar de China, que realizó una suerte de espionaje comprometiendo la seguridad de un medio de comunicación de EEUU.
Como mencionamos, este tipo de ataque suele estar coordinado por equipos altamente especializados, normalmente financiados por gobiernos o ciberdelicuentes, y generalmente  involucran un trasfondo político.

La complejidad del ataque no se centra solamente en el software malicioso utilizado, sino en el tiempo de investigación que toma este tipo de operaciones, intentando como siempre explotar el eslabón más débil sin levantar ninguna sospecha.

Naturalmente, los atacantes se toman su tiempo para investigar los perfiles de distintos usuarios, en especial los más descuidados -y que no posean información demasiado sensible. De este modo, sin ser precavidos por no tener información crítica, normalmente se los utiliza como el objetivo inicial de infección debido a que son utilizados para pivotear y a partir de ellos, llegar a usuarios que se encuentran en la misma red y posean información valiosa para los atacantes.

Los vectores de ataque son múltiples y especialmente personalizados para cada perfil. Los ciberdelincuentes utilizan las redes sociales como plataforma de armado de la Ingeniería Social para la etapa de reconocimiento, generando desde llamadas telefónicas, explotación de vulnerabilidades y hasta la distribución de dispositivos USB infectados; de esta forma, inician la operación de manera sincronizada por todos los vectores posibles.

Una vez lograda la intrusión, los atacantes se aseguran el acceso remoto, para proseguir robando datos o permaneciendo a la espera de nueva información crítica.

Algunos ejemplos muy conocidos para este tipo de ataque están ligados a las campañas de Stuxnet , BlackEnergy y Regin, las cuales tuvieron un gran impacto a nivel mundial.

Entendiendo qué es un AVT

Por su parte, AVT es un acrónimo de Advanced Volátil Threat l (Amenaza Volátil Avanzada). Es similar al APT, pero como principal diferencia encontramos que este tipo de intrusión es volátil, es decir que desaparecen la mayoría de sus huellas al reiniciar el equipo.

El agente malicioso no se encuentra escrito en el disco, sino que solo se puede leer en la memoria RAM de las computadoras. De esta forma, la amenaza permanece mucho más silenciosa, en muchos casos evadiendo la protección de antivirus y complicando la detección del ataque una vez que fue exitoso. Este tipo de técnica no es nueva y es en muchos casos explotada por diversas familias de malware.

A modo de ejemplo, regularmente en auditorías de seguridad informática se utilizan herramientas como Metasploit, con el fin de explotar alguna vulnerabilidad presente en el sistema. Este framework nos permite ejecutar exploits en una máquina remota, y payloads como el conocido Meterpreter. Este tipo de payload permite desarrollar dlls maliciosas que se pueden inyectar en un proceso en ejecución para mantenerse oculto.

Más diferencias

Otra gran diferencia surge si tomamos en cuenta el ciclo de vida de ambos: podremos notar muchas similitudes en cuanto a técnicas infección y propagación, pero hayamos grandes diferencias de tiempo. Un APT puede permanecer activo por décadas, mientras que un AVT generalmente termina durante el día:
avt_apt

 ¿Cómo puedes protegerte?

Las formas de protección contra estos ataques son similares y están relacionadas con las siguientes precauciones a tener en cuenta:
  • Aplicar robustas reglas en el firewall, para proteger la red corporativa.
  • Configurar un IDS/IPS, con el fin de detectar patrones anómalos dentro de las redes.
  • Emplear una solución de seguridad corporativa, con políticas de seguridad restrictivas que alcancen a todos los dispositivos que se puedan conectar dentro de los dominios.
  • Implementar un firewall de aplicaciones Web para mantener una capa de seguridad más robusta en las aplicaciones de nuestros servidores.
  • Mantener los sistemas operativos, aplicaciones y soluciones de seguridad actualizados.
  • Utilizar un SIEM, para el correcto manejo de alertas y correlación de registros.
  • Realizar estudios de intrusión (pentest) y explotación de vulnerabilidades de forma periódica.
  • Concientizar de manera permanente a todos los usuarios de nuestra compañía.
Aplicando estos consejos es posible bajar los riesgos de una posible infección e inclusive mitigar el impacto de un ataque, con el fin de que la empresa no se vea severamente comprometida con la pérdida de información valiosa, lo cual podría afectar la productividad del negocio.

Comentarios

Entradas populares de este blog

Descienden las detecciones de malware en Android y crecen en iOS

Explotan el día cero de la VPN de Fortinet para robar credenciales

Microsoft dice que la interrupción masiva de Azure fue causada por un ataque DDoS