Todo sobre DeathStalker
DeathStalker es un grupo mercenario de APT que ha desarrollado eficaces ataques de espionaje contra pequeñas y medianas empresas del sector financiero desde 2012. Los últimos resultados obtenidos muestran que el grupo ha atacado a empresas de todo el mundo, desde Europa hasta América Latina, lo que subraya la importancia de la ciberseguridad para las PYMES.
Pese a que los actores de amenazas promovidas por estados y los ataques más sofisticados son los que atraen más atención, las empresas se enfrentan actualmente a una amplia variedad de amenazas más próximas. Estas, que abarcan desde el ransomware y la fuga de datos hasta el espionaje comercial, provocan problemas similares en las operaciones o en la reputación de las empresas. Estos ataques son llevados a cabo por actores de malware de nivel medio y, a veces, por grupos de hackers mercenarios como DeathStalker, al que Kaspersky lleva siguiendo la pista desde 2018.
DeathStalker es un grupo de amenazas que actúa fundamentalmente en el ámbito del ciberespionaje contra bufetes de abogados y empresas del sector financiero. El actor de amenazas es muy flexible y se caracteriza por utilizar un enfoque repetitivo y rápido en el diseño de software, lo que les permite ejecutar eficazmente sus campañas.
Las investigaciones recientes han permitido a Kaspersky vincular la actividad de DeathStalker con tres familias diferentes de malware (Powersing, Evilnum y Janicab) lo que demuestra la magnitud de la actividad llevada a cabo desde 2012. Powersing ha sido rastreada por Kaspersky desde 2018, mientras que las otras dos familias han sido denunciadas por diversos proveedores de ciberseguridad. El análisis de las similitudes de los códigos y la victimología de las tres familias ha permitido a los investigadores relacionarlas entre sí con un nivel medio de confianza.
Las tácticas, técnicas y procedimientos de los actores de amenazas han permanecido inalterables a lo largo de los años: se basan en correos electrónicos de "spear-phishing" adaptados a cada caso para enviar documentos que contienen archivos maliciosos. Cuando el usuario hace clic en el enlace, se ejecuta un script malicioso y se descargan otros elementos desde Internet. Esto permite a los atacantes obtener el control del equipo de la víctima.
Uno de los ejemplos es el del uso de Powersing, un implante basado en Power-Shell que fue el primer malware detectado de este actor de amenazas. Una vez que el dispositivo de la víctima ha sido infectado, el malware es capaz de realizar capturas de pantalla periódicas y ejecutar scripts de Powershell de forma arbitraria. Mediante el uso de métodos de persistencia alternativos que varían según la solución de seguridad detectada en el dispositivo infectado, el malware es capaz de eludir la detección, lo que demuestra la capacidad de estos grupos para realizar pruebas de detección antes de cada campaña y ajustar los scripts en función de los resultados.
En las campañas en las que emplea Powersing, DeathStalker también recurre a un conocido servicio público para combinar las comunicaciones iniciales de puerta trasera con el tráfico de red legítimo, limitando así la capacidad de los defensores para obstaculizar sus operaciones. Mediante el uso de resolución de "dead-drop", -que albergan información y apuntan a una infraestructura adicional de comando y control- colocados en una variedad de redes sociales, blogs y aplicaciones de mensajería legítimas, el actor logró evadir la detección y finalizar rápidamente a la campaña. Una vez que las víctimas están infectadas, son contactadas y redirigidas por esta táctica de resolución, ocultando así la cadena de comunicación.
Un ejemplo de resolución 'dead-drop' alojado en un servicio público legítimo
La actividad de DeathStalker ha sido detectada en todo el mundo, lo que demuestra el tamaño de sus operaciones. Se han identificado acciones relacionadas con Powersing en Argentina, China, Chipre, Israel, Líbano, Suiza, Taiwán, Turquía, Reino Unido y Emiratos Árabes Unidos. Asimismo, Kaspersky ha localizado víctimas de Evilnum en Chipre, Emiratos Árabes Unidos, India, Líbano y Rusia. A través de Kaspersky Threat Intelligence Portal es posible acceder a información detallada sobre los indicadores de compromiso de este grupo, incluidos los hashes de archivos y los servidores C2.
"DeathStalker" es un ejemplo de actor de amenazas del que deben defenderse las empresas del sector privado. Aunque a menudo nos centramos en las actividades realizadas por los grupos APT, DeathStalker nos recuerda que las entidades que tradicionalmente no tienen una mayor sensibilización en materia de seguridad deben ser también conscientes de que pueden convertirse en objetivos. Además, a juicio de su continua actividad, creemos que DeathStalker seguirá siendo una amenaza y utilizará nuevas herramientas para atacar a las compañías. En cierto sentido, este actor es una prueba de que las pequeñas y medianas empresas también necesitan invertir en seguridad y en formación sobre concienciación", señala Ivan Kwiatkowski, investigador de seguridad senior del equipo GReAT de Kaspersky. "Para mantenerse protegidos frente a DeathStalker, recomendamos a las empresas que desactiven en la medida de lo posible la posibilidad de utilizar lenguajes como powershell.exe y cscript.exe. Asimismo, recomendamos que en los programas de concienciación y las evaluaciones de productos de seguridad futuras incluyan cadenas de infección basadas en archivos LNK (de acceso directo)".
