La investigación realizada por Kaspersky revela que el grupo ha tenido como objetivo a empresas desde Europa hasta América Latina.
Según la investigación por los expertos de Kaspersky, los DeathStalkers son un grupo “mercenario” de amenazas avanzadas persistentes (APT), que se han estado beneficiado de ataques eficientes de espionaje contra pequeñas y medianas empresas del sector financiero, desde el 2012. Entre los descubrimientos más recientes se revela que este grupo tiene como objetivo empresas de todo el mundo, desde Europa hasta América Latina.
A pesar de que los actores de amenazas patrocinados por los Estados y los ataques sofisticados son el centro de atención, actualmente las empresas enfrentan toda una serie de amenazas más inmediatas. Estas van desde el ransomware y las fugas de datos hasta el espionaje comercial, los mismos son organizados por malware de nivel medio y por grupos hackers a sueldo, como lo es DeathStalker.
Le puede interesar: ¿Los chips Wi-Fi son vulnerables a la interceptación de datos?
DeathStalker se basa en el ciberespionaje contra firmas de abogados y organizaciones del sector financiero. El agente de la amenaza es sumamente adaptable y notable, porque emplea un método de ritmo rápido en el diseño del software, ya que les da la posibilidad de ejecutar campañas efectivas.
Una reciente investigación de Kaspersky vinculó la actividad de DeathStalker con tres familias de malware: Powersing, Evilnum y Janicab, lo cual revela la amplitud de la actividad de esos grupos que ha sido desarrollada por lo menos desde 2012. A pesar de que el proveedor ha rastreado Powersing desde 2018, las otras dos familias de malware fueron reportadas por otros proveedores de ciberseguridad.
Las tácticas, técnicas y procedimientos de los agentes de amenazas permanecieron inalterados durante años, se basaron en correos electrónicos personalizados de spear-phishing para entregar archivos con contenido malicioso. A la hora que el usuario hace clic en el acceso directo, se pone en marcha una secuencia de instrucciones malintencionadas que descargan más componentes desde Internet, lo cual le permite a los atacantes obtener control sobre la máquina de la víctima.
Durante las campañas que utilizan Powersing, DeathStalker aplica un servicio público muy conocido para integrar las comunicaciones iniciales de puerta trasera en el tráfico legítimo de la red, de forma que limita la capacidad de los defensores para obstaculizar sus operaciones. Al utililzar los solucionadores de dead-drop, los cuales se colocaron en diferentes servicios legítimos de redes sociales, blogs y mensajería, los agentes lograron evadir la detección y terminar rápidamente una campaña. Una vez que las víctimas quedan infectadas, se dirigen a estos solucionadores y son redirigidas por ellos, ocultando así la cadena de comunicación.
“DeathStalker es un excelente ejemplo de un actor de amenazas contra el cual las organizaciones del sector privado deben defenderse. Aunque a menudo nos centramos en las actividades realizadas por los grupos de APT, DeathStalker nos recuerda que las organizaciones que tradicionalmente no son las más versadas en seguridad deben ser conscientes en que pueden convertirse en objetivos también. Además, a juzgar por su prolongada actividad, esperamos que DeathStalker continúe siendo una amenaza que emplee nuevas herramientas para impactar a las organizaciones. Este actor, en cierto sentido, es una prueba de que las pequeñas y medianas empresas también deben invertir en capacitación de ciberseguridad y concientización”, comenta Ivan Kwiatkowski, investigador senior de seguridad en Kaspersky.