Los expertos de Kaspersky registran que el grupo APT DeathStalker está espiando a las pymes suizas en particular. El Grupo APT tiene en la mira a otras medianas empresas a nivel mundial. Las víctimas se encuentran a menudo en la industria financiera y entre los bufetes de abogados.
El grupo APT DeathStalker ha estado espiando a las pequeñas y medianas empresas del sector financiero desde al menos 2012. Investigaciones recientes de Kaspersky muestran que DeathStalker se ha dirigido a empresas en Suiza y en todo el mundo.
DeathStalker se especializa específicamente en ciberespionaje contra firmas de abogados y organizaciones del sector financiero. El actor de amenazas es altamente adaptable y se caracteriza por seguir un enfoque iterativo, rápido y flexible para el diseño de software. Así es como DeathStalker puede realizar campañas de manera efectiva.
El espectro de actividad individual dificulta la detección
Los expertos de Kaspersky-Kaspersky ahora han podido vincular las actividades de DeathStalker con las tres familias de malware Powersing, Evilnum y Janicab, lo que demuestra la amplia gama de actividades del grupo desde al menos 2012. Si bien Kaspersky pudo identificar a Powersing en 2018, otros proveedores de ciberseguridad informaron sobre los hallazgos en Evilnum y Janicab. El análisis de similitudes de código y victimología entre las tres familias de malware permitió vincularlos con una probabilidad media.
Las tácticas, técnicas y modus operandi del grupo se han mantenido sin cambios a lo largo de los años: utiliza correos electrónicos de phishing personalizado para entregar archivos que contienen archivos maliciosos. Si un usuario hace clic en el acceso directo, se ejecuta un script malicioso y descarga componentes adicionales de Internet. Esto permite a los atacantes tomar el control del dispositivo infectado.
DeathStalker usa ataques potenciadores
Powersing, un implante basado en Power Shell, fue el primer malware que pudo atribuirse a este actor de amenazas. Una vez que la computadora de la víctima ha sido infectada, el malware puede tomar capturas de pantalla y ejecutar scripts arbitrarios de PowerShell. Con métodos de persistencia alternativos que se adaptan individualmente a la solución de seguridad utilizada en un dispositivo infectado, el malware evade la detección. DeathStalker lo usa para ejecutar pruebas de detección antes de cada campaña y actualizar los scripts en consecuencia.
Al potenciar los ataques, DeathStalker también utiliza un conocido servicio público para integrar la comunicación de puerta trasera inicial con el tráfico de red legítimo. Esto limita efectivamente la posibilidad de obstaculizar tal operación. Mediante el empleo de resolutores de punto muerto (montones de información que apuntan a una infraestructura adicional de comando y control ubicada en una variedad de servicios legítimos de redes sociales, blogs y mensajería), DeathStalker pudo evadir la detección y lanzar sus propias campañas para finalizar rápidamente. Una vez infectadas, las víctimas contactan y son redirigidas por estos resolutores, manteniendo oculta la cadena de comunicación.
Empresas de todo el mundo afectadas por DeathStalker
Se han detectado acciones de DeathStalker en todo el mundo. Se ha identificado actividad de Powersing en Argentina, China, Chipre, Israel, Líbano, Suiza, Taiwán, Turquía, el Reino Unido y los Emiratos Árabes Unidos. Kaspersky también encontró víctimas de Evilnum en Chipre, India, Líbano, Rusia y los Emiratos Árabes Unidos. Se puede obtener información detallada sobre los indicadores de compromiso relacionados con este grupo, incluidos hash de archivos y servidores C2, a través del Portal de inteligencia de amenazas de Kaspersky [2].
"DeathStalker es un excelente ejemplo de un actor de amenazas contra el que las organizaciones del sector privado deben defenderse", dijo Ivan Kwiatkowski, investigador de seguridad de Kaspersky. “Si bien a menudo nos enfocamos en las actividades de los grupos APT, DeathStalker nos recuerda que incluso las organizaciones que tradicionalmente no son las más conscientes de la seguridad necesitan saber que pueden ser atacadas. Además, debido a la actividad continua, anticipamos que DeathStalker seguirá siendo una amenaza para las organizaciones de todo el mundo mediante el uso de nuevas herramientas. Este jugador es una prueba más de que incluso las pequeñas y medianas empresas necesitan invertir en capacitación en seguridad y concientización. Para permanecer protegido de DeathStalker, recomendamos a las organizaciones que deshabiliten la capacidad de usar lenguajes de secuencias de comandos como powershell.exe y cscript.exe siempre que sea posible. También recomendamos que las futuras capacitaciones de concientización y evaluaciones de productos de seguridad incluyan cadenas de infección basadas en archivos LNK (acceso directo)”.
Consulte la lista segura de Kaspersky.com para obtener más información.
Acerca de Kaspersky Kaspersky es una empresa internacional de ciberseguridad fundada en 1997. La profunda inteligencia de amenazas y la experiencia en seguridad de Kaspersky sirven como base para soluciones y servicios de seguridad innovadores para proteger empresas, infraestructura crítica, gobiernos y consumidores en todo el mundo. La cartera de seguridad integral de la empresa incluye una protección líder para puntos finales y una variedad de soluciones y servicios de seguridad especializados para defenderse contra amenazas cibernéticas complejas y en constante evolución. Más de 400 millones de usuarios y 250.000 XNUMX clientes corporativos están protegidos por las tecnologías de Kaspersky. Más información sobre Kaspersky en www.kaspersky.com/