Los analistas de Kaspersky llevan rastreando desde 2018 las campañas del grupo de hackers DeathStalker. Un análisis reciente muestra que el actor de la amenaza actualizó el conjunto de herramientas evasivas «VileRat» para atacar este año a empresas de cambio de criptomonedas y divisas en Bulgaria, Chipre, Alemania, las Islas Granadinas, Kuwait, Malta, los Emiratos Árabes Unidos y Rusia.

DeathStalker es un actor APT de hackeo por encargo que Kaspersky lleva vigilando desde 2018, y que se dirige principalmente a bufetes de abogados y organizaciones del sector financiero. Se caracteriza porque sus ataques no parecen tener una motivación política o económica. Los analistas de Kaspersky creen que DeathStalker actúa como una organización mercenaria, ofreciendo servicios especializados de hacking.

En 2020, Kaspersky publicó un resumen del perfil y las actividades maliciosas de DeathStalker, incluyendo sus campañas Janicab, Evilnum, PowerSing y PowerPepper. A mediados de ese año, los expertos de la compañía descubrieron una nueva infección altamente evasiva, basada en el implante Python «VileRAT.  Los expertos han seguido de cerca su actividad desde entonces y han descubierto que se dirigía a empresas de comercio de divisas (FOREX) y criptodivisas de todo el mundo.

VileRat suele distribuirse tras una compleja cadena de ataques que comienzan con correos electrónicos de spearphishing. Este verano, los atacantes también aprovecharon los chatbots integrados en las webs públicas de las empresas objetivo para enviar documentos maliciosos. Los documentos DOCX se nombran frecuentemente con las palabras clave «compliance» o «complaint» (así como el nombre de la empresa objetivo), sugiriendo que el atacante está respondiendo a una solicitud de identificación o informando de un problema, con el fin de ocultar el ataque.

La campaña VileRAT destaca por la sofisticación de sus herramientas y su extensa infraestructura maliciosa (en comparación con las actividades de DeathStalker previamente documentadas), las numerosas técnicas de ocultación que se utilizan a lo largo de la infección, así como su actividad continua desde 2020. Esta campaña demuestra que DeathStalker está realizando un enorme esfuerzo para desarrollar y mantener el acceso a sus objetivos, que van desde la recuperación de activos, el apoyo a los litigios o casos de arbitraje, hasta el trabajo en torno a las sanciones, pero todavía no parece tener un beneficio directo.

VileRat no muestra ningún interés en dirigirse a países concretos, ya que los analistas de Kaspersky afirman que sus ataques van dirigidos a todo el mundo, con organizaciones comprometidas en Bulgaria, Chipre, Alemania, las Islas Granadinas, Kuwait, Malta, los Emiratos Árabes Unidos y Rusia. Las organizaciones identificadas van desde empresas de nueva creación hasta los grandes líderes de la industria.

“Escapar de la detección siempre ha sido un objetivo para DeathStalker, desde que lo rastreamos. Pero la campaña de VileRAT llevó esta búsqueda a otro nivel: es sin duda la campaña más intrincada, ofuscada y tentativamente evasiva que hemos identificado de este actor. Creemos que las tácticas y prácticas de DeathStalker son suficientes (y han demostrado serlo) para actuar sobre objetivos sin la experiencia suficiente para soportar el ataque en las que la seguridad no es una de sus principales prioridades «, comenta Pierre Delcher, Investigador Senior de Seguridad en el GReAT de Kaspersky.

Para proteger a sus organizaciones de ataques como VileRat, los expertos de Kaspersky recomiendan:

• Proporcionar a su equipo SOC acceso a la última inteligencia de amenazas (TI). El Portal de Inteligencia sobre Amenazas de Kaspersky es un punto único de acceso a la TI de la compañía, que proporciona datos sobre ciberataques y perspectivas recopiladas por Kaspersky durante los últimos 20 años. Para ayudar a las empresas a establecer defensas eficaces en estos tiempos difíciles, Kaspersky ha anunciado el acceso gratuito a información independiente, continuamente actualizada y de origen global sobre los ciberataques y amenazas en curso.
• Mejorar la capacitación de su equipo de ciberseguridad para que pueda hacer frente a las últimas amenazas específicas
• Utilizar una solución EDR de nivel empresarial. Es esencial para detectar amenazas entre un mar de alertas dispersas -gracias a su fusión automática de alertas en incidentes-, así como para analizar y responder a un incidente de la manera más eficaz.
• Además de adoptar una protección esencial para los endpoints, se debe implementar una solución de seguridad de nivel corporativo que detecte las amenazas avanzadas en el nivel de la red en una etapa temprana.
• Introducir una formación de concienciación sobre seguridad y enseñar habilidades prácticas a su equipo, ya que muchos ataques dirigidos comienzan con técnicas de ingeniería social, como el phishing.