Noviembre de 2023 – Un informe reciente de Palo Alto Networks ha revelado una serie de ciberataques devastadores dirigidos a instituciones en Israel. Estos ataques, que tuvieron lugar desde principios de año hasta octubre pasado, se centraron principalmente en instituciones educativas y tecnológicas en la región de Oriente Medio.
La Unidad de Investigación e Inteligencia de Amenazas de Palo Alto Networks, conocida como Unit 42, llevó a cabo una exhaustiva investigación que desveló la intención de los agresores de robar datos sensibles, incluyendo información personal y documentos relacionados con la propiedad intelectual. Además de los ataques virtuales, se emplearon "limpiadores" para borrar huellas y desactivar sistemas.
Un aspecto destacado de esta investigación es la conexión de estos ataques con un grupo conocido como Agonizing Serpens, respaldado por Irán. Unit 42 ha estado rastreando a Agonizing Serpens, también conocido como Agrius, BlackShadow, Pink Sandstorm y DEV-0022.
Ramón García, District Sales Manager para Caribe y Centroamérica en Palo Alto Networks, destacó que este incidente es un llamado de atención para todas las organizaciones en el mundo. Los ciberataques destructivos no se limitan a una región o industria específica; representan una amenaza global que puede afectar a cualquier entidad, sin importar su ubicación o sector. La necesidad de contar con soluciones de seguridad cibernética efectivas y estar preparados para enfrentar estas amenazas es un imperativo en el mundo digital actual. La ciberseguridad no conoce fronteras y es un desafío que debe ser abordado por organizaciones en todo el mundo.
¿Quién es el grupo APT Agonizing Serpens?
Agonizing Serpens es un grupo APT con vínculos a Irán que ha estado activo desde 2020. Este grupo se ha vuelto conocido por sus ataques destructivos, en los que utilizan "wipers" y ransomware falso. Su enfoque principal es dirigirse a organizaciones de diversas industrias y países, con un énfasis particular en las organizaciones israelíes.
Aunque los informes iniciales mencionaban ataques de ransomware y demandas de rescate posteriores, posteriormente se descubrió que esto formaba parte de un engaño. La investigación demostró que el objetivo real era el robo de datos y la interrupción de las operaciones comerciales.
Los ataques de Agonizing Serpens se centran en dos objetivos principales: la obtención de información confidencial para su publicación en redes sociales y la eliminación masiva de sistemas y datos, causando un daño considerable.
Un Análisis Técnico Profundo
Estos ataques forman parte de una campaña ofensiva más amplia dirigida a organizaciones en Israel, con un enfoque destacado en los sectores de educación y tecnología. La investigación de Palo Alto Networks reveló nuevas herramientas en el arsenal de Agonizing Serpens, incluyendo tres "wipers" previamente no documentados y una herramienta para la extracción de bases de datos.
El análisis de estos nuevos "wipers" reveló que el grupo ha mejorado sus capacidades, haciendo hincapié en técnicas de evasión y ocultación diseñadas para eludir las soluciones de seguridad, como la tecnología EDR.
Protección y Control de Daños
Una fase crítica de estos ataques implicaba la obtención de credenciales de usuarios con privilegios administrativos. Los atacantes intentaron varios métodos para obtener estas credenciales, pero la plataforma Cortex XDR logró evitarlos.
Ramón señaló que durante el curso de estos ataques, el grupo detrás de ellos hizo intentos específicos para sortear las soluciones EDR, buscando operar de manera encubierta. Sin embargo, nuestra plataforma bloqueó estos intentos de manera efectiva, reforzando la seguridad de las organizaciones afectadas. Es esencial entender que, en el panorama de la ciberseguridad actual, la creación de perfiles de comportamiento de usuarios mediante el aprendizaje automático es una herramienta poderosa.
Tanto Cortex XDR como XSIAM detectan amenazas y credenciales a través del análisis de la actividad de los usuarios basado en múltiples fuentes de datos, y proporcionan una serie de protecciones clave en relación con los ataques mencionados, incluyendo la prevención de malware conocido y desconocido, protección contra la recopilación de credenciales y la explotación de vulnerabilidades.