DeathStalker ataca empresas de intercambio de criptomonedas con VileRat
Los analistas de Kaspersky llevan rastreando desde 2018 las campañas del grupo de hackers DeathStalker. Un análisis reciente muestra que el actor de la amenaza actualizó el conjunto de herramientas evasivas «VileRat» para atacar este año a empresas cambio de criptomonedas y divisas en Bulgaria, Chipre, Alemania, las Islas Granadinas, Kuwait, Malta, los Emiratos Árabes Unidos y Rusia.
DeathStalker es un actor APT de hackeo por encargo que Kaspersky lleva vigilando desde 2018, y que se dirige principalmente a bufetes de abogados y organizaciones del sector financiero. Se caracteriza porque sus ataques no parecen tener una motivación política o económica. Los analistas de Kaspersky creen que DeathStalker actúa como una organización mercenaria, ofreciendo servicios especializados de hacking.
En 2020, Kaspersky publicó un resumen del perfil y las actividades maliciosas de DeathStalker, incluyendo sus campañas Janicab, Evilnum, PowerSing y PowerPepper. A mediados de ese año, los expertos de la compañía descubrieron una nueva infección altamente evasiva, basada en el implante Python «VileRAT. Los expertos han seguido de cerca su actividad desde entonces y han descubierto que se dirigía a empresas de comercio de divisas (FOREX) y criptodivisas de todo el mundo.
VileRat suele distribuirse tras una compleja cadena de ataques que comienzan con correos electrónicos de spearphishing. Este verano, los atacantes también aprovecharon los chatbots integrados en las webs públicas de las empresas objetivo para enviar documentos maliciosos. Los documentos DOCX se nombran frecuentemente con las palabras clave «compliance» o «complaint» (así como el nombre de la empresa objetivo), sugiriendo que el atacante está respondiendo a una solicitud de identificación o informando de un problema, con el fin de ocultar el ataque.
La campaña VileRAT destaca por la sofisticación de sus herramientas y su extensa infraestructura maliciosa (en comparación con las actividades de DeathStalker previamente documentadas), las numerosas técnicas de ocultación que se utilizan a lo largo de la infección, así como su actividad continua desde 2020. Esta campaña demuestra que DeathStalker está realizando un enorme esfuerzo para desarrollar y mantener el acceso a sus objetivos, que van desde la recuperación de activos, el apoyo a los litigios o casos de arbitraje, hasta el trabajo en torno a las sanciones, pero todavía no parece tener un beneficio directo.
VileRat no muestra ningún interés en dirigirse a países concretos, ya que los analistas de Kaspersky afirman que sus ataques van dirigidos a todo el mundo, con organizaciones comprometidas en Bulgaria, Chipre, Alemania, las Islas Granadinas, Kuwait, Malta, los Emiratos Árabes Unidos y Rusia. Cabe señalar que las organizaciones identificadas van desde empresas de nueva creación hasta los grandes líderes de la industria.
“Escapar de la detección siempre ha sido un objetivo para DeathStalker, desde que lo rastreamos. Pero la campaña de VileRAT llevó esta búsqueda a otro nivel: es sin duda la campaña más intrincada, ofuscada y tentativamente evasiva que hemos identificado de este actor. Creemos que las tácticas y prácticas de DeathStalker son suficientes (y han demostrado serlo) para actuar sobre objetivos sin la experiencia suficiente para soportar el ataque en las que la seguridad no es una de sus principales prioridades «, comenta Pierre Delcher, Investigador Senior de Seguridad en el GReAT de Kaspersky.
Para proteger a sus organizaciones de ataques como VileRat, los expertos de Kaspersky recomiendan:
- Proporcionar a su equipo SOC acceso a la última inteligencia de amenazas (TI). El Portal de Inteligencia sobre Amenazas de Kaspersky es un punto único de acceso a la TI de la compañía, que proporciona datos sobre ciberataques y perspectivas recopiladas por Kaspersky durante los últimos 20 años. Para ayudar a las empresas a establecer defensas eficaces en estos tiempos difíciles, Kaspersky ha anunciado el acceso gratuito a información independiente, continuamente actualizada y de origen global sobre los ciberataques y amenazas en curso.
- Mejorar la capacitación de su equipo de ciberseguridad para que pueda hacer frente a las últimas amenazas específicas con la formación en línea de Kaspersky, desarrollada por los expertos de GReAT.
- Utilizar una solución EDR de nivel empresarial, como Kaspersky EDR Expert. Es esencial para detectar amenazas entre un mar de alertas dispersas -gracias a su fusión automática de alertas en incidentes-, así como para analizar y responder a un incidente de la manera más eficaz.
- Además de adoptar una protección esencial para los endpoints, se debe implementar una solución de seguridad de nivel corporativo que detecte las amenazas avanzadas en el nivel de la red en una etapa temprana, como Kaspersky Anti Targeted Attack Platform.
- Introducir una formación de concienciación sobre seguridad y enseñar habilidades prácticas a su equipo, utilizando herramientas como la Plataforma de Concienciación sobre la Seguridad Automatizada de Kaspersky, ya que muchos ataques dirigidos comienzan con técnicas de ingeniería social, como el phishing.
Kaspersky
Kaspersky es una compañía global de ciberseguridad y privacidad digital fundada en 1997. La profunda experiencia de Kaspersky en inteligencia de amenazas y seguridad se está continuamente transformando en innovadoras soluciones y servicios de seguridad para proteger a empresas, infraestructuras críticas, gobiernos y consumidores en todo el mundo. El extenso portfolio de productos de seguridad de la empresa incluye su reputada solución de protección de endpoints, junto con una serie de soluciones y servicios de seguridad especializados para combatir las sofisticadas y cambiantes amenazas digitales. Más de 400 millones de usuarios son protegidos por las tecnologías de Kaspersky y ayudamos a 240.000 clientes corporativos a proteger lo que más les importa. Obtenga más información en www.kaspersky.es