Los investigadores de Kaspersky han publicado un panorama detallado de DeathStalker. Este grupo “mercenario” de amenazas avanzadas persistentes (APT, por sus siglas en inglés) ha estado beneficiándose de ataques de espionaje contra pequeñas y medianas empresas del sector financiero, por lo menos desde 2012.
Los descubrimientos más recientes demuestran que el grupo ha tenido como objetivo a organizaciones de todas partes del mundo, desde Europa hasta América Latina, lo que pone de manifiesto por qué la ciberseguridad es una necesidad para las pequeñas y medianas empresas.
Si bien los actores de amenazas patrocinados por los estados y los ataques sofisticados a menudo ocupan el centro de atención, hoy en día las empresas enfrentan toda una serie de amenazas mucho más inmediatas. Estas van desde el ransomware y fugas de datos, hasta el espionaje comercial. Estos resultados son igual de dañinos para las operaciones o la reputación de las organizaciones. Dichos ataques son llevados a cabo por orquestadores de malware de nivel medio y a veces, por grupos de hackers a sueldo, como es el caso de DeathStalker, cuyo rastro ha sido investigado por Kaspersky desde 2018.
DeathStalker es un grupo de amenazas muy peculiar que se enfoca principalmente en el ciberespionaje contra firmas de abogados y organizaciones del sector financiero. El agente de la amenaza es sumamente adaptable y relevante porque emplea un método iterativo de ritmo rápido en el diseño del software, lo que le da la posibilidad de ejecutar campañas efectivas.
Una investigación reciente permitió a Kaspersky vincular la actividad de DeathStalker con tres familias de malware, Powersing, Evilnum y Janicab, lo que demuestra la amplitud de la actividad de esos grupos en sus desarrollos por lo menos desde 2012. Aunque Powersing ha sido rastreado por el proveedor de seguridad desde 2018, las otras dos familias de malware han sido reportadas por otros proveedores de ciberseguridad. El análisis de las similitudes de código y la victimología entre las tres familias de malware permitió al investigador vincularlos entre sí con mediana confianza.
Las tácticas, técnicas y procedimientos de los agentes de amenazas permanecieron inalterados durante años: se basan en correos electrónicos personalizados de spear-phishing para entregar archivos con contenido malicioso. Cuando el usuario hace “clic” en el acceso directo, se pone en marcha una secuencia de instrucciones malintencionadas que descarga más componentes desde Internet. Esto permite a los atacantes obtener el control sobre la máquina de la víctima.
Uno de los ejemplos es el uso de Powersing, un implante basado en Powershell y que fue el primer malware de este agente de amenazas en ser detectado. Una vez que la máquina de la víctima ha sido infectada, el malware puede tomar capturas de pantalla de manera periódica y ejecutar secuencias de instrucciones de Powershell arbitrarias. Utilizando métodos de persistencia alternativos según la solución de seguridad detectada en el dispositivo infectado, el malware es capaz de evadir la detección, señalando la capacidad de los grupos para realizar pruebas de detección antes de cada campaña y actualizar las secuencias de instrucciones de acuerdo con los resultados más recientes.
En las campañas que utilizan Powersing, DeathStalker también emplea un servicio público muy conocido para integrar las comunicaciones iniciales de puerta trasera en el tráfico legítimo de la red, limitando así la capacidad de los defensores para obstaculizar sus operaciones. Utilizando los solucionadores de dead-drop (anfitriones de información que apuntan a una infraestructura adicional de mando y control) colocados en una variedad de servicios legítimos de redes sociales, blogs y mensajería, el agente pudo evadir la detección y terminar rápidamente una campaña. Una vez que las víctimas quedan infectadas, se dirigen a estos solucionadores y son redirigidas por ellos, ocultando así la cadena de comunicación.
Ejemplo de un solucionador de dead-drop alojado en un servicio público legítimo
Se ha detectado actividad de DeathStalker en todo el mundo, lo que indica la magnitud de sus operaciones. Se identificaron actividades relacionadas con Powersing en Argentina, China, Chipre, Israel, Líbano, Suiza, Taiwán, Turquía, el Reino Unido y los Emiratos Árabes Unidos. Kaspersky también localizó víctimas de Evilnum en Chipre, India, Líbano, Rusia y los Emiratos Árabes Unidos. A través del portal Kaspersky Threat Intelligence Portal es posible acceder a información detallada sobre los indicadores de peligro relacionados con este grupo, incluso archivos hash y servidores C2.
Para evitar ser víctima de un ataque dirigido por un agente de amenazas conocido o desconocido, los investigadores de Kaspersky recomiendan implementar las siguientes medidas:
- Proporcione a su equipo de SOC acceso a la más reciente inteligencia de amenazas (TI, por sus siglas en inglés).
- Para la detección a nivel de endpoints, la investigación y corrección oportuna de incidentes, implementa soluciones EDR como Kaspersky Endpoint Detection and Response. Esto combina la seguridad de endpoints con la funcionalidad del sandbox y de EDR, lo que permite una protección eficaz contra amenazas avanzadas y visibilidad instantánea de la actividad malintencionada que se detecte en endpoints corporativas.
- Brinde a su personal capacitación básica sobre higiene en ciberseguridad, ya que muchos ataques dirigidos comienzan con phishing u otras técnicas de ingeniería social. Realiza un ataque de phishing simulado para asegurarte de que sepan distinguir los correos electrónicos de phishing.
