Todo sobre DeathStalker, el grupo APT que espía a las PYMES

8 septiembre, 2020
6 Compartido 1,278 Visualizaciones

Un grupo ‘mercenario’ de APT ha desarrollado eficaces ataques de espionaje contra pequeñas y medianas empresas del sector financiero

Pese a que los actores de amenazas promovidas por estados y los ataques más sofisticados son los que atraen más atención, las empresas se enfrentan actualmente a una amplia variedad de amenazas más próximas. Estas, que abarcan desde el ransomware y la fuga de datos hasta el espionaje comercial, provocan problemas similares en las operaciones o en la reputación de las empresas. Estos ataques son llevados a cabo por actores de malware de nivel medio y, a veces, por grupos de hackers mercenarios como DeathStalker, al que Kaspersky lleva siguiendo la pista desde 2018.

DeathStalker es un grupo de amenazas que actúa fundamentalmente en el ámbito del ciberespionaje contra bufetes de abogados y empresas del sector financiero. El actor de amenazas es muy flexible y se caracteriza por utilizar un enfoque repetitivo y rápido en el diseño de software, lo que les permite ejecutar eficazmente sus campañas.

Las tácticas, técnicas y procedimientos de los actores de amenazas han permanecido inalterables a lo largo de los años: se basan en correos electrónicos de «spear-phishing» adaptados a cada caso para enviar documentos que contienen archivos maliciosos. Cuando el usuario hace clic en el enlace, se ejecuta un script malicioso y se descargan otros elementos desde Internet. Esto permite a los atacantes obtener el control del equipo de la víctima. 

Uno de los ejemplos es el del uso de Powersing, un implante basado en Power-Shell que fue el primer malware detectado de este actor de amenazas. Una vez que el dispositivo de la víctima ha sido infectado, el malware es capaz de realizar capturas de pantalla periódicas y ejecutar scripts de Powershell de forma arbitraria. Mediante el uso de métodos de persistencia alternativos que varían según la solución de seguridad detectada en el dispositivo infectado, el malware es capaz de eludir la detección, lo que demuestra la capacidad de estos grupos para realizar pruebas de detección antes de cada campaña y ajustar los scripts en función de los resultados.

En las campañas en las que emplea Powersing, DeathStalker también recurre a un conocido servicio público para combinar las comunicaciones iniciales de puerta trasera con el tráfico de red legítimo, limitando así la capacidad de los defensores para obstaculizar sus operaciones. Mediante el uso de resolución de «dead-drop», -que albergan información y apuntan a una infraestructura adicional de comando y control- colocados en una variedad de redes sociales, blogs y aplicaciones de mensajería legítimas, el actor logró evadir la detección y finalizar rápidamente a la campaña. Una vez que las víctimas están infectadas, son contactadas y redirigidas por esta táctica de resolución, ocultando así la cadena de comunicación.

La actividad de DeathStalker ha sido detectada en todo el mundo, lo que demuestra el tamaño de sus operaciones. Se han identificado acciones relacionadas con Powersing en Argentina, China, Chipre, Israel, Líbano, Suiza, Taiwán, Turquía, Reino Unido y Emiratos Árabes Unidos. Asimismo, Kaspersky ha localizado víctimas de Evilnum en Chipre, Emiratos Árabes Unidos, India, Líbano y Rusia. A través de Kaspersky Threat Intelligence Portal es posible acceder a información detallada sobre los indicadores de compromiso de este grupo, incluidos los hashes de archivos y los servidores C2.

«DeathStalker» es un ejemplo de actor de amenazas del que deben defenderse las empresas del sector privado. Aunque a menudo nos centramos en las actividades realizadas por los grupos APT, DeathStalker nos recuerda que las entidades que tradicionalmente no tienen una mayor sensibilización en materia de seguridad deben ser también conscientes de que pueden convertirse en objetivos. Además, a juicio de su continua actividad, creemos que DeathStalker seguirá siendo una amenaza y utilizará nuevas herramientas para atacar a las compañías. En cierto sentido, este actor es una prueba de que las pequeñas y medianas empresas también necesitan invertir en seguridad y en formación sobre concienciación», señala Ivan Kwiatkowski, investigador de seguridad senior del equipo GReAT de Kaspersky. «Para mantenerse protegidos frente a DeathStalker, recomendamos a las empresas que desactiven en la medida de lo posible la posibilidad de utilizar lenguajes como powershell.exe y cscript.exe. Asimismo, recomendamos que en los programas de concienciación y las evaluaciones de productos de seguridad futuras incluyan cadenas de infección basadas en archivos LNK (de acceso directo)».

Mantente informado de las noticias más relevantes en nuestro canal de Telegram

Te podría interesar

La ciberseguridad en el sector público, clave en CISO Day 2020
Actualidad
6 compartido2,232 visualizaciones
Actualidad
6 compartido2,232 visualizaciones

La ciberseguridad en el sector público, clave en CISO Day 2020

Alicia Burrueco - 22 julio, 2020

CISO Day 2020 se celebrará el 17 de septiembre presencialmente en Madrid. También se retransmitirá en directo vía streaming. En…

Hackeo masivo en Twitter; ¿Qué opinan los expertos?
Actualidad
12 compartido2,302 visualizaciones
Actualidad
12 compartido2,302 visualizaciones

Hackeo masivo en Twitter; ¿Qué opinan los expertos?

Alicia Burrueco - 17 julio, 2020

Un hackeo masivo sin precedentes en la red social Twitter ha dejado al descubierto posibles riesgos en seguridad de esta plataforma que…

Cómo el phishing afecta al email marketing
Actualidad
15 compartido2,829 visualizaciones
Actualidad
15 compartido2,829 visualizaciones

Cómo el phishing afecta al email marketing

Vicente Ramírez - 18 marzo, 2019

Muchas personas tienden a confundir el spam con los correos electrónicos de phishing y el concepto más amplio de marketing…

Deje un comentario

Su email no será publicado

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.