Noviembre de 2023 – Una investigación reciente ha sacado a la luz una serie de ciberataques destructivos dirigidos hacia instituciones en Israel. Estos ataques, que se extendieron desde principios de año hasta octubre pasado, tuvieron como objetivo principal a las instituciones educativas y tecnológicas del país en Oriente Medio.
La investigación, llevada a cabo por la Unidad de Investigación e Inteligencia de Amenazas de Palo Alto Networks, conocida como Unit 42, revela que los agresores tenían la intención de robar datos sensibles, incluyendo información personal y documentos relacionados con la propiedad intelectual. Además de estos ataques virtuales, se emplearon «limpiadores» para eliminar rastros y desactivar sistemas.
Uno de los aspectos más destacados de esta investigación es la conexión de estos ataques con un grupo conocido como Agonizing Serpens, un grupo APT respaldado por Irán. Unit 42 ha estado rastreando a Agonizing Serpens, también conocido como Agrius, BlackShadow, Pink Sandstorm y DEV-0022.
Ramón García, District Sales Manager para Caribe y Centroamérica en Palo Alto Networks, señaló que este incidente es un claro llamado de atención para todas las organizaciones, en todas partes del mundo., los ciberataques destructivos no son exclusivos de una región o industria en particular; representan una amenaza global que puede afectar a cualquier entidad, sin importar su ubicación o sector. La necesidad de contar con soluciones de seguridad cibernética efectivas y estar preparados para enfrentar estas amenazas es un imperativo en el mundo digital actual, la ciberseguridad no conoce fronteras y es un desafío que debe ser abordado por organizaciones en todo el mundo.
¿Quién es el grupo APT Agonizing Serpens?
Agonizing Serpens es un grupo APT con vínculos a Irán que ha estado activo desde 2020. Este grupo se ha hecho notorio por sus ataques destructivos, en los que se utilizan «wipers» y ransomware falso. Su enfoque principal es dirigirse a organizaciones de múltiples industrias y países, con un énfasis particular en las organizaciones israelíes.
Aunque los informes iniciales mencionaban ataques de ransomware y demandas de rescate posteriores, posteriormente se descubrió que esto formaba parte de un engaño. La investigación demostró que el objetivo real era el robo de datos y la interrupción de las operaciones comerciales.
Los ataques de Agonizing Serpens se centran en dos objetivos principales: la obtención de información confidencial para su publicación en redes sociales y la eliminación masiva de sistemas y datos, lo que causa un daño considerable.
Un Análisis Técnico Profundo
Estos ataques forman parte de una campaña ofensiva más amplia dirigida a organizaciones en Israel, con un enfoque destacado en los sectores de educación y tecnología. La investigación de Palo Alto Networks reveló nuevas herramientas en el arsenal de Agonizing Serpens, incluyendo tres «wipers» previamente no documentados y una herramienta para la extracción de bases de datos.
El análisis de estos nuevos «wipers» reveló que el grupo ha mejorado sus capacidades, haciendo hincapié en técnicas de evasión y ocultación diseñadas para eludir las soluciones de seguridad, como la tecnología EDR.
Protección y Control de Daños
Una fase crítica de estos ataques implicaba la obtención de credenciales de usuarios con privilegios administrativos. Los atacantes intentaron varios métodos para obtener estas credenciales, pero la plataforma Cortex XDR logró evitarlos.
Ramón señaló que durante el curso de estos ataques, el grupo detrás de ellos hizo intentos específicos para sortear nuestras soluciones EDR, buscando operar de manera encubierta. Sin embargo, nuestra plataforma bloqueó estos intentos de manera efectiva, reforzando la seguridad de las organizaciones afectadas. Es esencial entender que, en el panorama de la ciberseguridad actual, la creación de perfiles de comportamiento de usuarios mediante el aprendizaje automático es una herramienta poderosa.
Tanto Cortex XDR como XSIAM detectan amenazas y credenciales a través del análisis de la actividad de los usuarios basado en múltiples fuentes de datos, y proporcionan una serie de protecciones clave en relación con los ataques mencionados, incluyendo la prevención de malware conocido y desconocido, protección contra la recopilación de credenciales y la explotación de vulnerabilidades.