DeathStalker: grupo mercenario de APT que espía a pequeñas y medianas empresas

Los descubrimientos más recientes de Kaspersky demuestran que el grupo ha tenido como objetivo a empresas desde Europa hasta América Latina

Los investigadores de Kaspersky han publicado un panorama detallado de DeathStalker, un grupo «mercenario» de amenazas avanzadas persistentes (APT, por sus siglas en inglés) que ha estado beneficiándose de ataques eficientes de espionaje contra pequeñas y medianas empresas del sector financiero, por lo menos desde 2012. Los descubrimientos más recientes demuestran que el grupo ha tenido como objetivo empresas de todas partes del mundo, desde Europa hasta América Latina, lo que pone de relieve por qué la ciberseguridad es una necesidad para las organizaciones pequeñas y medianas.

Si bien los actores de amenazas patrocinados por los estados y los ataques sofisticados a menudo ocupan el centro de atención, hoy en día las empresas enfrentan toda una serie de amenazas más inmediatas. Estas van desde el ransomware y las fugas de datos hasta el espionaje comercial, y los resultados no son menos dañinos para las operaciones o la reputación de las organizaciones. Estos ataques son llevados a cabo por orquestadores de malware de nivel medio y, a veces, por grupos de hackers a sueldo, como es el caso de DeathStalker, cuyo rastro ha sido investigado por Kaspersky desde 2018.

DeathStalker es un grupo de amenazas muy peculiar que se centra principalmente en el ciberespionaje contra firmas de abogados y organizaciones del sector financiero. El agente de la amenaza es sumamente adaptable y notable porque emplea un método iterativo de ritmo rápido en el diseño del software, lo que le da la posibilidad de ejecutar campañas efectivas.

Una investigación reciente permitió a Kaspersky vincular la actividad de DeathStalker con tres familias de malware, Powersing, Evilnum y Janicab, lo que demuestra la amplitud de la actividad de esos grupos que ha sido desarrollada por lo menos desde 2012. Aunque Powersing ha sido rastreado por el proveedor de seguridad desde 2018, las otras dos familias de malware han sido reportadas por otros proveedores de ciberseguridad. El análisis de las similitudes de código y la victimología entre las tres familias de malware permitió al investigador vincularlos entre sí con mediana confianza.

Las tácticas, técnicas y procedimientos de los agentes de amenazas permanecieron inalterados durante años: se basan en correos electrónicos personalizados de spear-phishing para entregar archivos con contenido malicioso. Cuando el usuario hace clic en el acceso directo, se pone en marcha una secuencia de instrucciones malintencionadas que descarga más componentes desde Internet. Esto permite a los atacantes obtener el control sobre la máquina de la víctima.

Uno de los ejemplos es el uso de Powersing, un implante basado en Powershell que fue el primer malware de este agente de amenazas en ser detectado. Una vez que la máquina de la víctima ha sido infectada, el malware puede tomar capturas de pantalla de manera periódica y ejecutar secuencias de instrucciones de Powershell arbitrarias. Utilizando métodos de persistencia alternativos según la solución de seguridad detectada en el dispositivo infectado, el malware es capaz de evadir la detección, señalando la capacidad de los grupos para realizar pruebas de detección antes de cada campaña y actualizar las secuencias de instrucciones de acuerdo con los resultados más recientes.

En las campañas que utilizan Powersing, DeathStalker también emplea un servicio público muy conocido para integrar las comunicaciones iniciales de puerta trasera en el tráfico legítimo de la red, limitando así la capacidad de los defensores para obstaculizar sus operaciones. Utilizando los solucionadores de dead-drop (anfitriones de información que apuntan a una infraestructura adicional de mando y control) colocados en una variedad de servicios legítimos de redes sociales, blogs y mensajería, el agente pudo evadir la detección y terminar rápidamente una campaña. Una vez que las víctimas quedan infectadas, se dirigen a estos solucionadores y son redirigidas por ellos, ocultando así la cadena de comunicación.

Se ha detectado actividad de DeathStalker en todo el mundo, lo que indica la magnitud de sus operaciones. Se identificaron actividades relacionadas con Powersing en Argentina, China, Chipre, Israel, Líbano, Suiza, Taiwán, Turquía, el Reino Unido y los Emiratos Árabes Unidos. Kaspersky también localizó víctimas de Evilnum en Chipre, India, Líbano, Rusia y los Emiratos Árabes Unidos. A través del portal Kaspersky Threat Intelligence Portal es posible acceder a información detallada sobre los indicadores de peligro relacionados con este grupo, incluso archivos hash y servidores C2.

“DeathStalker es un excelente ejemplo de un actor de amenazas contra el cual las organizaciones del sector privado deben defenderse. Aunque a menudo nos centramos en las actividades realizadas por los grupos de APT, DeathStalker nos recuerda que las organizaciones que tradicionalmente no son las más versadas en seguridad deben ser conscientes en que pueden convertirse en objetivos también. Además, a juzgar por su prolongada actividad, esperamos que DeathStalker continúe siendo una amenaza que emplee nuevas herramientas para impactar a las organizaciones. Este actor, en cierto sentido, es una prueba de que las pequeñas y medianas empresas también deben invertir en capacitación de ciberseguridad y concientización”, comenta Ivan Kwiatkowski, investigador senior de seguridad en Kaspersky. “Para mantenerse protegido de DeathStalker, recomendamos a las organizaciones que deshabiliten la capacidad de usar lenguajes de scripting, como powershell.exe y cscript.exe, siempre que sea posible. También recomendamos que las iniciativas de concientización y las evaluaciones de productos de seguridad incluyan cadenas de infección basadas en archivos LNK (acceso directo) «.

Para evitar ser víctima de un ataque dirigido por un agente de amenazas conocido o desconocido, los investigadores de Kaspersky recomiendan implementar las siguientes medidas:

• Proporcione a su equipo de SOC acceso a la más reciente inteligencia de amenazas (TI, por sus siglas en inglés). Kaspersky Threat Intelligence Portal es un solo punto de acceso a la inteligencia de amenaza de la empresa, y proporciona datos sobre ciberataques e información recopilada por Kaspersky durante más de 20 años

• Para la detección a nivel de endpoints, la investigación y corrección oportuna de incidentes, implemente soluciones EDR como Kaspersky Endpoint Detection and Response. Esto combina la seguridad de endpoints con la funcionalidad del sandbox y de EDR, lo que permite una protección eficaz contra amenazas avanzadas y visibilidad instantánea de la actividad malintencionada que se detecte en endpoints

• Brinde a su personal capacitación básica sobre higiene en ciberseguridad, ya que muchos ataques dirigidos comienzan con phishing u otras técnicas de ingeniería social. Realice un ataque de phishing simulado para asegurarse de que sepan distinguir los correos electrónicos de phishing.