Tras analizar los datos de más de 200.000 pequeñas y medianas organizaciones durante un año, han identificado a varios de estos grupos que se dirigen específicamente a ellas, incluyendo algunos alineados con los intereses de los gobiernos ruso, iraní y norcoreano. 

Los grupos de APT llevan a cabo campañas de phishing selectivo mucho más sofisticadas. Estos ciberdelincuentes suelen estar financiados por un gobierno o entidad para conseguir un objetivo estratégico concreto mediante el espionaje, el robo de datos o una campaña de desinformación.

Compromiso de infraestructuras de pymes para campañas de phishing

Durante el último año, ha habido un aumento en los casos de suplantación de identidad o de compromiso de dominios pertenecientes a pymes. Estos ataques pueden haberse logrado mediante la recopilación de credenciales o, en el caso de un servidor web, mediante la explotación de una vulnerabilidad no parcheada. Una vez conseguido, la dirección de correo electrónico se utiliza para enviar mensajes maliciosos a otros objetivos.

Un ejemplo destacado es el grupo de ciberdelincuentes TA473, también conocido como Winter Vivern, que comprometió los dominios de un fabricante de ropa artesanal con sede en Nepal y de un ortopedista estadounidense con el objetivo de entregar malware a través de campañas de phishing.

Ataques selectivos con objetivos financieros

Las amenazas observadas dirigidas a pymes del sector financiero suelen estar alineadas con los intereses de los gobiernos de Rusia, Irán o Corea del Norte. En los últimos años, se ha atacado a organizaciones de finanzas descentralizadas y tecnología blockchain para conseguir fondos con los que financiar diferentes operaciones gubernamentales.

Ataques APT a la cadena de suministro

La última tendencia emergente observada entre 2022 y 2023 es el aumento de ataques a proveedores regionales de servicios gestionados (MSP) como medio para iniciar ataques a la cadena de suministro. Los MSP suelen proteger a cientos de pymes de su zona geográfica, y muchas de ellas tienen herramientas de ciberseguridad limitadas o no profesionales. Por esto, los ciberdelincuentes han visto una oportunidad en la vulnerabilidad de estas empresas para obtener acceso a los entornos de usuario final que les interesan.

El panorama de las APT es cada vez más complejo, lo que supone un riesgo para todas las pymes que operan en la actualidad, por lo que ninguna empresa debería pensar que por ser pequeña o poco conocida está a salvo de los ciberdelincuentes. Es recomendable que inviertan esfuerzo y recursos, tanto en tecnología para protegerse como en un programa de formación y concienciación en ciberseguridad para sus empleados.

“Las pequeñas y medianas empresas están cada vez más presentes en nuestras investigaciones sobre campañas de phishing debido a que son el objetivo de los ciberdelincuentes alineados con determinados intereses estatales”, comentan desde el equipo de investigación de Proofpoint. “Los grupos de APT se han dado cuenta de las ventajas de dirigirse a organizaciones pequeñas, tanto por la valiosa información que pueden ofrecer como por ser eslabones más débiles en la cadena de suministro. Desde Proofpoint prevemos un aumento continuado de los ataques a pymes a lo largo de 2023 procedentes de todos los atacantes APT que rastreamos”.