APT y ataque a Microsoft Exchange

Las amenazas APT (amenaza persistente avanzada) tienen unas consecuencias más graves a las padecidas por los ciberataques convencionales. La explicación de esto reside en que, por un lado, los autores dedican mucho más tiempo y esfuerzo (suelen estar promovidos por organizaciones gubernamentales), y por otro, las víctimas son también de mucho más peso. En este sentido, La Casa Blanca, la Unión Europea y la OTAN, han acusado abiertamente al gobierno chino de estar detrás de varios ciberataques de estas características, y en concreto del padecido por Microsoft Exchange el pasado mes de enero.

En este ciberataque masivo, se estima que se vieron afectados más de 250.000 servidores Exchange en todo el mundo, y se calcula que los ciberatacantes accedieron a cerca de 30.000 organizaciones únicamente en Estados Unidos. El incidente, que ha afectado al servicio de Microsoft, se aprovecha de una vulnerabilidad semejante a ProxyLogon. Esta vulnerabilidad permite al ciberatacante loguearse en el sistema como administrador y a partir de ahí, acceder a los correos electrónicos. En este caso, los dedos acusadores apuntaron a Hafnium, un grupo de hackers financiado por las autoridades gubernamentales chinas.

El gran peligro de las amenazas APT

En este ciberataque, los hackers se aprovecharon de una vulnerabilidad Zero Day de Exchange, pero sobre todo, pusieron de manifiesto los graves peligros derivados de los ciberataques por APT. Estos ataques, dado el esfuerzo que requieren, suelen tener como patrocinadores a organizaciones gubernamentales.

En el caso del ataque padecido por Exchange, La Casa Blanca no ha dudado en afirmar que esta acción, con toda seguridad, ha sido financiada y promovida por el gobierno chino. “El ministerio de seguridad chino contrata habitualmente hackers para llevar a cabo acciones globales de las que salen impunes”, informó el gobierno estadounidense a través de un comunicado oficial. El gobierno de Biden no se ha quedado solo en sus acusaciones: la Unión Europea ha acusado de la misma manera a este país instándole a adoptar medidas urgentes para frenar estos ataques.

Cómo pueden protegerse las organizaciones ante este tipo de amenaza

Los MSP deben tener muy presente que este tipo de ciberataques pueden tener como objetivo también a organizaciones y empresas privadas, y por este motivo, resulta fundamental adoptar medidas de protección para sus clientes. En este sentido, resulta imprescindible contar con una protección proactiva de los endpoints ante la posibilidad de que se lleve a cabo un ataque de estas características. Para ello, detectar y neutralizar la amenaza antes de que sea demasiado tarde es determinante, y esto es posible gracias a soluciones específicas como el bloqueador de APT de WatchGuard (APT Blocker). Esta solución emplea un sandbox aislado en la nube en el que, simulando al comportamiento del hardware físico, analiza todo tipo de ejecutables y documentos, de forma que se pueda neutralizar sin riesgos un ciberataque ransomware o amenazas Zero Day.

El blindaje ante las amenazas APT se complementa con soluciones que ofrecen protección a los endpoint ante ciberataques de última generación, como WatchGuard EPDR. Esta solución completa de seguridad emplea una estrategia de confianza cero (Zero Trust) y la aplicación integrada del servicio Threat Hunting, minimizando la posibilidad de éxito de un ciberataque. Con este enfoque Zero- Trust, cualquier aplicación o binario, son sistemáticamente analizados, con lo que se reducen al mínimo la eventualidad de éxito por parte de los ciberatacantes. Esto, sumado al servicio de Threat Hunting basado en un conjunto de reglas de búsqueda de amenazas, creado por especialistas en seguridad,permiten a la solución de ciberseguridad analizar los patrones de comportamiento que resulten anómalos para que el cliente pueda reducir los tiempos de respuesta y crear nuevas reglas que puedan ser distribuidas entre los endpoints para protegerlos.