{"id":7974,"date":"2020-09-10T11:41:17","date_gmt":"2020-09-10T16:41:17","guid":{"rendered":"http:\/\/www.syspertec.com.co\/web\/?p=7974"},"modified":"2020-09-10T11:41:35","modified_gmt":"2020-09-10T16:41:35","slug":"deathstalker-grupo-mercenario-de-apt-que-espia-a-pequenas-y-medianas-empresas","status":"publish","type":"post","link":"https:\/\/syspertec.com.co\/web\/deathstalker-grupo-mercenario-de-apt-que-espia-a-pequenas-y-medianas-empresas\/","title":{"rendered":"DeathStalker: grupo mercenario de APT que esp\u00eda a peque\u00f1as y medianas empresas"},"content":{"rendered":"\n

Los descubrimientos m\u00e1s recientes de Kaspersky demuestran que el grupo ha tenido como objetivo a empresas desde Europa hasta Am\u00e9rica Latina<\/p>\n\n\n\n

Los investigadores de Kaspersky han publicado un panorama detallado de DeathStalker, un grupo “mercenario” de amenazas avanzadas persistentes (APT, por sus siglas en ingl\u00e9s) que ha estado benefici\u00e1ndose de ataques eficientes de espionaje contra peque\u00f1as y medianas empresas del sector financiero, por lo menos desde 2012. Los descubrimientos m\u00e1s recientes demuestran que el grupo ha tenido como objetivo empresas de todas partes del mundo, desde Europa hasta Am\u00e9rica Latina, lo que pone de relieve por qu\u00e9 la ciberseguridad es una necesidad para las organizaciones peque\u00f1as y medianas.<\/strong><\/strong><\/p>\n\n\n\n

Si bien los actores de amenazas patrocinados por los estados y los ataques sofisticados a menudo ocupan el centro de atenci\u00f3n, hoy en d\u00eda las empresas enfrentan toda una serie de amenazas m\u00e1s inmediatas. Estas van desde el ransomware y las fugas de datos hasta el espionaje comercial, y los resultados no son menos da\u00f1inos para las operaciones o la reputaci\u00f3n de las organizaciones. Estos ataques son llevados a cabo por orquestadores de malware de nivel medio y, a veces, por grupos de hackers<\/em> a sueldo, como es el caso de DeathStalker, cuyo rastro ha sido investigado por Kaspersky desde 2018.<\/p>\n\n\n\n

DeathStalker es un grupo de amenazas muy peculiar que se centra principalmente en el ciberespionaje contra firmas de abogados y organizaciones del sector financiero. El agente de la amenaza es sumamente adaptable y notable porque emplea un m\u00e9todo iterativo de ritmo r\u00e1pido en el dise\u00f1o del software, lo que le da la posibilidad de ejecutar campa\u00f1as efectivas.<\/p>\n\n\n\n

Una investigaci\u00f3n reciente permiti\u00f3 a Kaspersky vincular la actividad de DeathStalker con tres familias de malware, Powersing, Evilnum y Janicab, lo que demuestra la amplitud de la actividad de esos grupos que ha sido desarrollada por lo menos desde 2012. Aunque Powersing ha sido rastreado por el proveedor de seguridad desde 2018, las otras dos familias de malware han sido reportadas por otros proveedores de ciberseguridad. El an\u00e1lisis de las similitudes de c\u00f3digo y la victimolog\u00eda entre las tres familias de malware permiti\u00f3 al investigador vincularlos entre s\u00ed con mediana confianza.<\/p>\n\n\n\n

Las t\u00e1cticas, t\u00e9cnicas y procedimientos de los agentes de amenazas permanecieron inalterados durante a\u00f1os: se basan en correos electr\u00f3nicos personalizados de spear-phishing<\/em>para entregar archivos con contenido malicioso. Cuando el usuario hace clic en el acceso directo, se pone en marcha una secuencia de instrucciones malintencionadas que descarga m\u00e1s componentes desde Internet. Esto permite a los atacantes obtener el control sobre la m\u00e1quina de la v\u00edctima.<\/p>\n\n\n\n

Uno de los ejemplos es el uso de Powersing, un implante basado en Powershell que fue el primer malware de este agente de amenazas en ser detectado. Una vez que la m\u00e1quina de la v\u00edctima ha sido infectada, el malware puede tomar capturas de pantalla de manera peri\u00f3dica y ejecutar secuencias de instrucciones de Powershell arbitrarias. Utilizando m\u00e9todos de persistencia alternativos seg\u00fan la soluci\u00f3n de seguridad detectada en el dispositivo infectado, el malware es capaz de evadir la detecci\u00f3n, se\u00f1alando la capacidad de los grupos para realizar pruebas de detecci\u00f3n antes de cada campa\u00f1a y actualizar las secuencias de instrucciones de acuerdo con los resultados m\u00e1s recientes.<\/p>\n\n\n\n

En las campa\u00f1as que utilizan Powersing, DeathStalker tambi\u00e9n emplea un servicio p\u00fablico muy conocido para integrar las comunicaciones iniciales de puerta trasera en el tr\u00e1fico leg\u00edtimo de la red, limitando as\u00ed la capacidad de los defensores para obstaculizar sus operaciones. Utilizando los solucionadores de\u00a0dead-drop<\/em>\u00a0(anfitriones de informaci\u00f3n que apuntan a una infraestructura adicional de mando y control) colocados en una variedad de servicios leg\u00edtimos de redes sociales, blogs y mensajer\u00eda, el agente pudo evadir la detecci\u00f3n y terminar r\u00e1pidamente una campa\u00f1a. Una vez que las v\u00edctimas quedan infectadas, se dirigen a estos solucionadores y son redirigidas por ellos, ocultando as\u00ed la cadena de comunicaci\u00f3n.<\/p>\n\n\n\n

\"\"
Ejemplo de un solucionador de dead-drop alojado en un servicio p\u00fablico leg\u00edtimo<\/em><\/figcaption><\/figure><\/div>\n\n\n\n

Se ha detectado actividad de DeathStalker en todo el mundo, lo que indica la magnitud de sus operaciones. Se identificaron actividades relacionadas con Powersing en Argentina, China, Chipre, Israel, L\u00edbano, Suiza, Taiw\u00e1n, Turqu\u00eda, el Reino Unido y los Emiratos \u00c1rabes Unidos. Kaspersky tambi\u00e9n localiz\u00f3 v\u00edctimas de Evilnum en Chipre, India, L\u00edbano, Rusia y los Emiratos \u00c1rabes Unidos. A trav\u00e9s del portal Kaspersky Threat Intelligence Portal<\/a> es posible acceder a informaci\u00f3n detallada sobre los indicadores de peligro relacionados con este grupo, incluso archivos hash y servidores C2.<\/p>\n\n\n\n

\u201cDeathStalker es un excelente ejemplo de un actor de amenazas contra el cual las organizaciones del sector privado deben defenderse. Aunque a menudo nos centramos en las actividades realizadas por los grupos de APT, DeathStalker nos recuerda que las organizaciones que tradicionalmente no son las m\u00e1s versadas en seguridad deben ser conscientes en que pueden convertirse en objetivos tambi\u00e9n. Adem\u00e1s, a juzgar por su prolongada actividad, esperamos que DeathStalker contin\u00fae siendo una amenaza que emplee nuevas herramientas para impactar a las organizaciones. Este actor, en cierto sentido, es una prueba de que las peque\u00f1as y medianas empresas tambi\u00e9n deben invertir en capacitaci\u00f3n de ciberseguridad y concientizaci\u00f3n<\/em>\u201d, comenta Ivan Kwiatkowski, investigador senior de seguridad en Kaspersky<\/strong>. \u201cPara mantenerse protegido de DeathStalker, recomendamos a las organizaciones que deshabiliten la capacidad de usar lenguajes de scripting, como powershell.exe y cscript.exe, siempre que sea posible. Tambi\u00e9n recomendamos que las iniciativas de concientizaci\u00f3n y las evaluaciones de productos de seguridad incluyan cadenas de infecci\u00f3n basadas en archivos LNK (acceso directo) “.<\/em><\/em><\/p>\n\n\n\n

Para evitar ser v\u00edctima de un ataque dirigido por un agente de amenazas conocido o desconocido, los investigadores de Kaspersky recomiendan implementar las siguientes medidas:<\/strong><\/p>\n\n\n\n