Alida Vergara Jurado
Especial para El Universal
Los investigadores de Kaspersky, empresa de ciberseguridad global, han publicado un reporte acerca de DeathStalker, un grupo mercenario de amenazas avanzadas persistentes, conocido por sus siglas en inglés como APT, que se ha beneficiado de ataques de espionaje contra pequeñas y medianas empresas del sector financiero, por lo menos desde 2012.
Estos descubrimientos demuestran que dicho grupo ha tenido como objetivo empresas de todas partes del mundo, desde Europa hasta América Latina. Por lo que ha dejado claro que la ciberseguridad es una necesidad primordial para las organizaciones pequeñas y medianas.
Si bien los actores de amenazas, patrocinados por los Estados y los ataques sofisticados, a menudo ocupan el centro de atención, actualmente las empresas enfrentan una gran cantidad de amenazas más inmediatas, que van desde el ransomware y fugas de datos, hasta el espionaje comercial.
Los resultados no son menos dañinos para las operaciones o la reputación de las organizaciones, ya que estos ataques son llevados a cabo por orquestadores de malware de nivel medio, e inclusive por grupos de hackers, como es el caso de DeathStalker, cuyo rastro ha sido investigado por Kaspersky desde 2018.
Este es un grupo de amenazas muy peculiar que se basa fundamentalmente en el ciberespionaje contra firmas de abogados y organizaciones del sector financiero. El agente de la amenaza es sumamente adaptable y notable porque emplea un método iterativo de ritmo rápido en el diseño del software, lo que le da la posibilidad de ejecutar campañas efectivas y difíciles de detectar.
Un estudio reciente permitió a Kaspersky vincular la actividad de DeathStalker con tres familias de malware: Powersing, Evilnum y Janicab, otra muestra de la amplitud de la actividad de estos grupos. Si bien Powersing ha sido rastreado por el proveedor de seguridad desde 2018, las otras dos familias de malware han sido reportadas por otros proveedores de ciberseguridad.
El análisis de las similitudes de código y la victimología entre las tres familias de malware ha permitido al investigador vincularlos entre sí con mediana confianza.
Las tácticas, técnicas y procedimientos de estos agentes de amenazas se basan en correos electrónicos personalizados de spear-phishing (estafa de correo electrónico o comunicaciones dirigida a personas, organizaciones o empresas específicas) para entregar archivos con contenido malicioso. De modo que, cuando el usuario hace click en el acceso directo, se pone en marcha una secuencia de instrucciones malintencionadas que descarga más componentes desde Internet. Esto permite a los atacantes obtener el control sobre la máquina de la víctima.
Powersing, es un implante basado en Powershell, que fue el primer malware de este agente de amenazas en ser detectado. Una vez que la máquina de la víctima ha sido infectada, el malware puede tomar capturas de pantalla de manera periódica y ejecutar secuencias de instrucciones arbitrarias. En las campañas que utilizan Powersing, DeathStalker también emplea un servicio público muy conocido para integrar las comunicaciones iniciales de puerta trasera en el tráfico legítimo de la red, lo que limita la capacidad de los defensores para obstaculizar sus operaciones.
Se ha detectado actividad de DeathStalker con Powersing en Argentina, China, Chipre, Israel, Líbano, Suiza, Taiwán, Turquía, el Reino Unido y los Emiratos Árabes Unidos, lo que indica la magnitud de sus operaciones.
Kaspersky también localizó víctimas de Evilnum en Chipre, India, Líbano, Rusia y los Emiratos Árabes Unidos.
A través de su porta, l Kaspersky Threat Intelligence Portal, es posible acceder a información detallada acerca de los indicadores de peligro relacionados con este grupo, incluso archivos hash y servidores C2.
Para evitar ser víctima de un ataque dirigido por un agente de amenazas conocido o desconocido, los investigadores de Kaspersky recomiendan implementar las siguientes medidas:
- Proporcionar al equipo de SOC acceso a la más reciente inteligencia de amenazas.
- Implementar soluciones EDR como Kaspersky Endpoint Detection and Response para la detección a nivel de endpoints, la investigación y corrección oportuna de incidentes.
- Brindar al personal capacitación básica acerca de higiene en ciberseguridad, ya que muchos ataques dirigidos comienzan con phishing u otras técnicas de ingeniería social.
- Realizar simulaciones de ataque de phishing para asegurarse de que el equipo sepa distinguir los correos electrónicos de esta modalidad.
Siguenos en
Telegram,
Instagram,
Facebook y
Twitter
para recibir en directo todas nuestras actualizaciones