Según los especialistas de Kaspersky Lab , desde al menos 2012 el grupo DeathStalker se ha dedicado al ciberespionaje contra empresas financieras y legales de pequeñas y medianas empresas en todo el mundo, incluida Rusia. Los principales objetivos de los ciberdelincuentes son las empresas fintech, de inversión y legales. El grupo DeathStalker se interesó en las organizaciones rusas este año.
Los expertos han estado siguiendo las actividades de este grupo desde 2018 y señalan que ahora se ha vuelto especialmente activo. Sus tácticas, técnicas y procedimientos permanecen inalterados, mientras que no pierden su efectividad con el tiempo: la infección se produce a través de correos electrónicos de phishing que contienen archivos con archivos maliciosos. Cuando un usuario hace clic en un acceso directo (LNK), se ejecuta un script malicioso y se descarga el malware, lo que permite a los atacantes controlar el dispositivo de la víctima.
A juzgar por los objetivos e instrumentos utilizados, el grupo se especializa en el robo de datos relacionados con las actividades financieras de las empresas, la negociación en diversas plataformas e inversiones. Además, los investigadores creen que DeathStalker es un grupo de mercenarios que ofrecen servicios de piratería a sueldo o actúan como una especie de intermediario de información en los círculos financieros.
Las herramientas de DeathStalker incluyen familias maliciosas como Powersing, Evilnum y Janicab. Powersing es un implante basado en PowerShell que le permite tomar capturas de pantalla en un dispositivo infectado y ejecutar scripts de PowerShell. El malware puede evitar ser detectado por las soluciones de seguridad: antes de lanzar un ataque, los ciberdelincuentes lo usan para verificar si pueden realizar acciones en secreto en el sistema y luego actualizar los scripts de acuerdo con los resultados del análisis.
Además, en los ataques que se llevan a cabo utilizando Powersing, se introduce una puerta trasera en el tráfico de red legítimo a través de un servicio conocido, lo que debilita significativamente las capacidades de protección del dispositivo. Luego, los atacantes publican los llamados resolutores en redes sociales legítimas, servicios de blogs y mensajería instantánea: información encriptada sobre centros de comando reales para poder realizar acciones maliciosas de manera rápida y silenciosa. En particular, los piratas informáticos utilizan Google+, Imgur, Reddit, ShockChan, Tumblr, Twitter, YouTube y WordPress para estos fines. Todo esto hace que sea muy difícil encontrar un servidor de comando y control real.
“DeathStalker es un ejemplo de un ataque complejo que representa una amenaza para las pequeñas empresas privadas. Las actividades de este grupo confirman claramente que las pequeñas y medianas empresas necesitan invertir en soluciones de seguridad y formación para sus empleados. Teniendo en cuenta que los objetivos están ubicados en diferentes países y son principalmente empresas fintech, de inversión y legales, lo más probable es que estemos tratando con ciber-mercenarios profesionales que realizan piratería por encargo ”, comenta Yuri Namestnikov, director del centro de investigación ruso de Kaspersky Lab. ... - Para contrarrestar a DeathStalker, recomendamos que las organizaciones, cuando sea posible, limiten o deshabiliten la capacidad de usar lenguajes de scripting como powershell.exe y cscript.exe, así como que expliquen a los empleados en las capacitaciones de ciberseguridad,
0 Comentarios