Los grupos de Amenazas Persistentes Avanzadas (APT) han redirigido sus esfuerzos hacia un blanco que solía pasar desapercibido: las bases de datos empresariales. Esta elección de objetivos promete ser más efectiva y menos detectable, según el reciente informe de Palo Alto Networks, una firma destacada en ciberseguridad. La transformación en las tácticas de ataque ha sido notable, y un grupo en particular, Phantom Taurus, se ha convertido en el principal ejemplo de esta tendencia.
Históricamente, los ciberatacantes dirigían su foco hacia los servidores de correo electrónico. Sin embargo, mejoras significativas en su protección, como la autenticación multifactor y los filtros antiphishing, han reducido su vulnerabilidad. Por el contrario, las bases de datos, a menudo menos resguardadas, han emergido como un blanco atractivo. Los atacantes ahora se centran en obtener información estructurada como historiales financieros y listados de clientes, ofreciendo acceso directo y discreto a valiosa información.
Phantom Taurus, identificado por el grupo de inteligencia de amenazas Unit 42 de Palo Alto Networks, es un protagonista clave en esta nueva estrategia de ciberespionaje. Este grupo, con supuestos vínculos a China, ha actuado con discreción durante varios años, centrándose en organismos gubernamentales y empresas en Asia, África y Oriente Medio. Originalmente orientados a servidores de correo, sus ataques más recientes han evolucionado hacia la explotación de bases de datos SQL, empleando un sofisticado script para extraer información sin ser detectados.
El uso de técnicas avanzadas como NET-STAR, una suite de malware que opera directamente en memoria sin dejar rastro en discos, demuestra un nivel de sofisticación alarmante. Esta herramienta permite a Phantom Taurus evadir defensas y mantener su infiltración en sistemas comprometidos, marcando un nuevo nivel de amenaza.
El caso de Phantom Taurus no es aislado. Otros grupos, como Winnti, han seguido tácticas similares, desarrollando herramientas específicas para infiltrarse en bases de datos. Este cambio en el enfoque de ataque es una llamada de atención urgente para las organizaciones. Proteger el perímetro ya no es suficiente; es imperativo blindar lo que verdaderamente importa: las “joyas de la corona” de la información.
Palo Alto Networks insta a las organizaciones a reforzar sus medidas de seguridad mediante controles de acceso estrictos, monitoreo activo de actividades sospechosas y mantenimientos de seguridad al día. Además, sugiere segmentar redes internas para complicar el movimiento lateral de los atacantes y priorizar la detección temprana de amenazas con tecnologías avanzadas como machine learning. La seguridad debe evolucionar al mismo ritmo que lo hacen las tácticas de los cibercriminales, y la industria parece estar escuchando con atención este llamado.
