Compartir

Los descubrimientos más recientes de Kaspersky demuestran que el grupo ha tenido como objetivo a empresas de Europa y América Latina

26 de agosto de 2020

 

Los investigadores de Kaspersky han publicado un panorama detallado de DeathStalker. Este grupo “mercenario” de amenazas avanzadas persistentes (APT, por sus siglas en inglés) ha estado beneficiándose de ataques de espionaje contra pequeñas y medianas empresas del sector financiero, por lo menos desde 2012. Los descubrimientos más recientes demuestran que el grupo ha tenido como objetivo a organizaciones de todas partes del mundo, desde Europa hasta América Latina, lo que pone de manifiesto por qué la ciberseguridad es una necesidad para las pequeñas y medianas empresas.

 

Si bien los actores de amenazas patrocinados por los estados y los ataques sofisticados a menudo ocupan el centro de atención, hoy en día las empresas enfrentan toda una serie de amenazas mucho más inmediatas. Estas van desde el ransomware y fugas de datos, hasta el espionaje comercial. Estos resultados son igual de dañinos para las operaciones o la reputación de las organizaciones. Dichos ataques son llevados a cabo por orquestadores de malware de nivel medio y a veces, por grupos de hackers a sueldo, como es el caso de DeathStalker, cuyo rastro ha sido investigado por Kaspersky desde 2018.

 

DeathStalker es un grupo de amenazas muy peculiar que se enfoca principalmente en el ciberespionaje contra firmas de abogados y organizaciones del sector financiero. El agente de la amenaza es sumamente adaptable y relevante porque emplea un método iterativo de ritmo rápido en el diseño del software, lo que le da la posibilidad de ejecutar campañas efectivas.

 

Una investigación reciente permitió a Kaspersky vincular la actividad de DeathStalker con tres familias de malware, Powersing, Evilnum y Janicab, lo que demuestra la amplitud de la actividad de esos grupos en sus desarrollos por lo menos desde 2012. Aunque Powersing ha sido rastreado por el proveedor de seguridad desde 2018, las otras dos familias de malware han sido reportadas por otros proveedores de ciberseguridad. El análisis de las similitudes de código y la victimología entre las tres familias de malware permitió al investigador vincularlos entre sí con mediana confianza.

 

Las tácticas, técnicas y procedimientos de los agentes de amenazas permanecieron inalterados durante años: se basan en correos electrónicos personalizados de spear-phishing para entregar archivos con contenido malicioso. Cuando el usuario hace “clic” en el acceso directo, se pone en marcha una secuencia de instrucciones malintencionadas que descarga más componentes desde Internet. Esto permite a los atacantes obtener el control sobre la máquina de la víctima.

 

Uno de los ejemplos es el uso de Powersing, un implante basado en Powershell y que fue el primer malware de este agente de amenazas en ser detectado. Una vez que la máquina de la víctima ha sido infectada, el malware puede tomar capturas de pantalla de manera periódica y ejecutar secuencias de instrucciones de Powershell arbitrarias. Utilizando métodos de persistencia alternativos según la solución de seguridad detectada en el dispositivo infectado, el malware es capaz de evadir la detección, señalando la capacidad de los grupos para realizar pruebas de detección antes de cada campaña y actualizar las secuencias de instrucciones de acuerdo con los resultados más recientes.

 

En las campañas que utilizan Powersing, DeathStalker también emplea un servicio público muy conocido para integrar las comunicaciones iniciales de puerta trasera en el tráfico legítimo de la red, limitando así la capacidad de los defensores para obstaculizar sus operaciones. Utilizando los solucionadores de dead-drop (anfitriones de información que apuntan a una infraestructura adicional de mando y control) colocados en una variedad de servicios legítimos de redes sociales, blogs y mensajería, el agente pudo evadir la detección y terminar rápidamente una campaña. Una vez que las víctimas quedan infectadas, se dirigen a estos solucionadores y son redirigidas por ellos, ocultando así la cadena de comunicación.

 

Ejemplo de un solucionador de dead-drop alojado en un servicio público legítimo

 

Se ha detectado actividad de DeathStalker en todo el mundo, lo que indica la magnitud de sus operaciones. Se identificaron actividades relacionadas con Powersing en Argentina, China, Chipre, Israel, Líbano, Suiza, Taiwán, Turquía, el Reino Unido y los Emiratos Árabes Unidos. Kaspersky también localizó víctimas de Evilnum en Chipre, India, Líbano, Rusia y los Emiratos Árabes Unidos. A través del portal Kaspersky Threat Intelligence Portal es posible acceder a información detallada sobre los indicadores de peligro relacionados con este grupo, incluso archivos hash y servidores C2.

 

“DeathStalker es un excelente ejemplo de un actor de amenazas contra el cual las organizaciones del sector privado deben defenderse. Aunque a menudo nos centramos en las actividades realizadas por los grupos de APT, DeathStalker nos recuerda que las organizaciones que tradicionalmente no están muy instruidas en seguridad, deben ser conscientes en que pueden convertirse en objetivos también. Además, a juzgar por su prolongada actividad, esperamos que DeathStalker continúe siendo una amenaza que emplee nuevas herramientas para impactar a las organizaciones. Este actor, en cierto sentido, es una prueba de que las pequeñas y medianas empresas también deben invertir en capacitación de ciberseguridad y concientización”, comenta Ivan Kwiatkowski, investigador senior de seguridad en Kaspersky. “Para mantenerse protegido de DeathStalker, recomendamos a las organizaciones que deshabiliten la capacidad de usar lenguajes de scripting, como powershell.exe y cscript.exe, siempre que sea posible. También recomendamos que las iniciativas de concientización y las evaluaciones de productos de seguridad incluyan cadenas de infección basadas en archivos LNK (acceso directo).”

 

Para evitar ser víctima de un ataque dirigido por un agente de amenazas conocido o desconocido, los investigadores de Kaspersky recomiendan implementar las siguientes medidas:

 

  • Proporciona a tu equipo de SOC acceso a la más reciente inteligencia de amenazas (TI, por sus siglas en inglés). Kaspersky Threat Intelligence Portal es un solo punto de acceso a la inteligencia de amenaza de la empresa y, proporciona datos sobre ciberataques e información recopilada por Kaspersky durante más de 20 años
  • Para la detección a nivel de endpoints, la investigación y corrección oportuna de incidentes, implementa soluciones EDR como Kaspersky Endpoint Detection and Response. Esto combina la seguridad de endpoints con la funcionalidad del sandbox y de EDR, lo que permite una protección eficaz contra amenazas avanzadas y visibilidad instantánea de la actividad malintencionada que se detecte en endpoints corporativas.
  • Brinda a tu personal capacitación básica sobre higiene en ciberseguridad, ya que muchos ataques dirigidos comienzan con phishing u otras técnicas de ingeniería social. Realiza un ataque de phishing simulado para asegurarte de que sepan distinguir los correos electrónicos de phishing.

 

Acerca de Kaspersky

Kaspersky es una empresa de ciberseguridad global fundada en 1997. La profunda experiencia de Kaspersky en inteligencia de amenazas y seguridad se transforma constantemente en soluciones y servicios de seguridad innovadores para proteger a empresas, infraestructuras críticas, gobiernos y consumidores en todo el mundo. El amplio portafolio de seguridad de la compañía incluye una protección de endpoints líder y una serie de soluciones y servicios de seguridad especializados para combatir las amenazas digitales más avanzadas y en evolución. Más de 400 millones de usuarios están protegidos por las tecnologías de Kaspersky y ayudamos a 250,000 clientes corporativos a proteger lo que más valoran. Obtenga más información en http://latam.kaspersky.com.

 

Contacto para prensa

JeffreyGroup México

Eduardo Santiago

esantiago@jeffreygroup.com

T: +52 (55) 5281-1121 Ext. 146

Compartir

Comentarios

comentarios