Mercenários DeathStalker estão a atacar empresas de criptocracia e câmbio com a VileRat

Mercenários DeathStalker estão a atacar empresas de criptocracia e câmbio com a VileRat

Os investigadores da Kaspersky seguem as campanhas de ataque do grupo DeathStalker hack-for-hire desde 2018. Análises recentes mostram que o autor da ameaça atualizou o seu conjunto de ferramentas evasivas "VileRat" para atacar empresas de moedas criptográficas e de câmbio na Bulgária, Chipre, Alemanha, Grenadinas, Kuwait, Malta, Emirados Árabes Unidos e Rússia em 2022.

DeathStalker é um infame ator da APT que a Kaspersky monitora desde 2018, e que visa principalmente escritórios de advocacia e organizações do sector financeiro. Os autores da ameaça destacam-se uma vez que os seus ataques não parecem ter motivações políticas ou financeiras. Os investigadores da Kaspersky acreditam que o DeathStalker age como uma organização mercenária, oferecendo serviços especializados de hacking ou de inteligência financeira.

Em 2020, os investigadores Kaspersky publicaram uma visão geral do perfil do DeathStalker e das suas actividades maliciosas, incluindo as suas campanhas Janicab, Evilnum, PowerSing e PowerPepper. Os peritos da empresa descobriram uma infeção nova e altamente evasiva, baseada no implante "VileRAT" Python, em meados de 2020. Os peritos têm acompanhado de perto a actividade dos actores desde então e descobriram-na em todo o mundo, em 2022, em empresas de comércio de moeda estrangeira (FOREX) e de moeda criptográfica agressivamente visadas.

Mensagem maliciosa de engenharia social DOCX

O VileRat é normalmente implantado após uma cadeia de infeção, que começa a partir de e-mails de spearphishing. Este Verão, os atacantes também aproveitaram os "chatbots" que estão embutidos nos sites públicos das empresas visadas para enviar documentos maliciosos. Os documentos DOCX são frequentemente nomeados utilizando as palavras-chave "compliance" ou "complaint" (bem como o nome da empresa visada), sugerindo que o atacante está a responder a um pedido de identificação ou a relatar um problema, a fim de encobrir o ataque.

A campanha VileRAT destaca-se pela sofisticação das suas ferramentas e vasta infra-estrutura maliciosa (em comparação com as atividades DeathStalker anteriormente documentadas), pelas numerosas técnicas de ofuscação que são utilizadas ao longo de toda a infeção, bem como pela sua atividade contínua e persistente desde 2020. A campanha VileRAT demonstra que o DeathStalker está a fazer um tremendo esforço para desenvolver e manter o acesso aos seus alvos. O possível objetivo dos ataques vai desde a devida diligência, recuperação de bens, apoio em casos de litígio ou arbitragem, até ao trabalho em torno de sanções, mas ainda não parece ser um ganho financeiro direto..”

O VileRat não mostra qualquer interesse em atingir determinados países, em vez disso os investigadores Kaspersky relatam ataques avançados indiscriminados utilizando o VileRat em todo o mundo, com organizações comprometidas na Bulgária, Chipre, Alemanha, Granadinas, Kuwait, Malta, Emiratos Árabes Unidos e Rússia. É de notar que as organizações identificadas vão desde as recentes empresas em fase de arranque até aos líderes estabelecidos da indústria.

“A deteção de fugas tem sido sempre um objetivo para o DeathStalker, desde que tenhamos seguido o autor da ameaça. Mas a campanha VileRAT levou este desejo a outro nível: é sem dúvida a campanha mais intrincada, ofuscada e tentativamente evasiva que alguma vez identificámos a partir deste actor. Acreditamos que as táticas e práticas do DeathStalker são suficientes (e comprovadas) para agir sobre alvos brandos que podem não ter experiência suficiente para resistir a tal nível de determinação, e podem não ter feito da segurança uma das principais prioridades da sua organização, ou que frequentemente interagem com terceiros que não o tenham feito", comenta Pierre Delcher, Investigador Sénior de Segurança do GReAT da Kaspersky.

Leia mais sobre o VileRat e as suas técnicas de evasão na Securelist.

Para proteger as suas organizações de ataques como o VileRat, os peritos Kaspersky recomendam:

• Proporcionar à sua equipa SOC o acesso à mais recente informação sobre ameaças (TI). O Portal Kaspersky Threat Intelligence é um ponto de acesso único para a TI da empresa, fornecendo dados de ciberataque e insights recolhidos pela Kaspersky ao longo dos últimos 20 anos. Para ajudar as empresas a permitir defesas eficazes nestes tempos turbulentos, a Kaspersky anunciou o livre acesso a informação independente, continuamente actualizada e de origem global sobre ciberataques e ameaças em curso.
• Aprimorando a sua equipa de segurança cibernética para lhes permitir enfrentar as mais recentes ameaças alvo com a formação online Kaspersky, desenvolvida por peritos do GReAT.
• Usando uma solução EDR de nível empresarial, tal como a Kaspersky EDR Expert. É essencial para detetar ameaças entre um mar de alertas dispersos - graças à sua fusão automática de alertas em incidentes - bem como para analisar e responder a um incidente da forma mais eficaz.
• Para além de adotar uma proteção essencial de endpoint, implementando uma solução de segurança de nível corporativo que detecta ameaças avançadas ao nível da rede numa fase inicial, tal como a Plataforma de Ataque Anti-Ataque Direcionado Kaspersky.
• Introduzindo formação de sensibilização para a segurança e ensinando competências práticas à sua equipa - utilizando ferramentas como a Kaspersky Automated Security Awareness Platform, uma vez que muitos ataques direcionados começam com técnicas de engenharia social, como o phishing.