Uma análise detalhada do grupo hacker DeathStalker, que opera ameaças persistentes avançadas (APT), foi publicada nesta segunda-feira, 24, pela Kaspersky. O relatório destaca a escala das operações do grupo em todo o mundo, que vai da Europa à América Latina.
A organização, que oferece serviços de hacking por meio de aluguel, é conhecida por estar ativa desde pelo menos 2012, focando principalmente em pequenas e médias empresas (PMEs) do setor financeiro. O grupo se utiliza de campanhas comerciais para espionagem cibernética.
A Kaspersky diz que a pesquisa demonstra que as PMEs, bem como as grandes empresas e organizações governamentais, devem estar preparadas para lidar com as ameaças representadas por operadores de APTs, como o DeathStalker.
Por meio do rastreamento do grupo a partir de 2018, a Kaspersky conseguiu vincular suas atividades às três famílias de malware: Powersing, Evilnum e Janicub, com “confiança média”.
O principal método de ataque do DeathStalker é enviar arquivos maliciosos por meio de e-mails de spear-phishing personalizados. Um script malicioso é executado e outros componentes são baixados da internet quando o usuário clica no atalho, o que dá aos hackers o controle da máquina da vítima.
A Kaspersky acrescenta que, em suas campanhas de Powersing, o DeathStalker passou a usar como tática para evitar a detecção postar conteúdo, conhecido como resolvedor de descarte morto, em mídias sociais legítimas, blogs e serviços de mensagens. Uma vez infectadas, as vítimas procurariam e seriam redirecionadas por esses “resolvedores”, o que oculta a cadeia de comunicação.
Veja isso
Cibermercenários prestam serviços de hack há quase 10 anos
Grupo APT já teria realizado 26 ataques de espionagem corporativa
Ataques relacionados ao Powersing foram detectados pela Kaspersky na Argentina, China, Chipre, Israel, Líbano, Suíça, Taiwan, Turquia, Reino Unido e Emirados Árabes Unidos, enquanto as vítimas do Evilnum estavam localizadas no Chipre, Índia, Líbano, Rússia e Emirados Árabes Unidos, demonstrando o extensão das atividades do DeathStalker em todo o mundo.
Ivan Kwiatkowski, pesquisador de segurança sênior da Equipe de Pesquisa e Análise Global (GReAT) da Kaspersky, observa que o DeathStalker é um excelente exemplo de um operador de ameaça do qual as organizações do setor privado precisam se defender. “Embora muitas vezes nos concentremos nas atividades realizadas por grupos APT, DeathStalker nos lembra que as organizações que não são tradicionalmente as mais preocupadas com a segurança precisam estar cientes de se tornarem alvos também.”
Além disso, segundo ele, a julgar por sua atividade contínua, pode se esperar que o DeathStalker continue a ser uma ameaça com as novas ferramentas empregadas para impactar as organizações. “Esse ator, de certa forma, é a prova de que as pequenas e médias empresas precisam investir também em treinamento de segurança e conscientização.”
No mês passado, a Kaspersky descobriu um novo grupo cibermercenário conhecido como “Deceptikons”, que fornece serviços de hacking de aluguel há quase uma década.
