Un reporte de la compañía de ciberseguridad Palo Alto Networks reveló una serie de ciberataques dirigidos a instituciones de Israel antes y durante el conflicto que ese país vive en la Franja de Gaza.
Se conoció que las agresiones se iniciaron a principios de año, continuaron hasta noviembre pasado, y tenían como principal objetivo vulnerar organismos educativos tecnológicos israelíes.
La investigación realizada por Unit 42, la Unidad de Investigación e Inteligencia de Amenazas de Palo Alto Networks, señaló que los ataques pretendían robar datos sensibles, desde información personal hasta documentos relacionados con la propiedad intelectual. Una vez que se concretaban las agresiones virtuales, se desplegaban wipers (un tipo de malware que borran archivos/datos de las computadoras) destinados a cubrir huellas e inutilizar terminales.
Lo destacado de la investigación tiene que ver con la revelación de que los ataques tienen fuertes conexiones con un grupo de amenazas persistentes avanzadas (APT, por sus siglas en inglés), respaldado por Irán, que Unit 42 rastrea como Agonizing Serpens (también conocido como Agrius, BlackShadow, Pink Sandstorm, DEV-0022).
“Estos ciberataques no pudieron eludir a Cortex XDR y XSIAM, soluciones las cuales tienen la capacidad de detectar e impedir este tipo de agresiones y, al mismo tiempo, construir perfiles de comportamiento de la actividad de los usuarios mediante aprendizaje automático, lo cual permite detectar actividad anómala, como por ejemplo, ataques cuyo fin es conseguir credenciales/contraseñas”, explica Germán Rincón, Country Manager de Palo Alto Networks para Perú y Bolivia.
¿Qué es el grupo Agonizing Serpens?
Agonizing Serpens es un grupo de amenazas persistentes avanzadas vinculado a Irán que ha estado activo desde el año 2020. El grupo es conocido por sus ataques destructivos de wiper y falso ransomware, y se dirige principalmente a organizaciones israelíes de múltiples industrias y países.
Aunque en los primeros informes los ataques mencionan una agresión ransomware y posteriores pedidos de rescate, luego se determinó que se trataba de un engaño. Tras la investigación quedó demostrado que no se buscaba dinero, sino que el objetivo era vulnerar datos e interrumpir la continuidad de la actividad empresarial.
Los ataques de Agonizing Serpens suelen tener dos objetivos principales; el primero es robar información confidencial para publicar en redes sociales, mientras que el segundo -el más relevante- es sembrar el caos e infligir daños considerables borrando borrando todo el disco duro de todas las computadores/servidores como le sea posible.
Una mirada técnica
El ataque forma parte de una campaña ofensiva más amplia dirigida a organizaciones israelíes, entre las que se destacan los sectores de la educación y la tecnología. La investigación de Palo Alto Networks descubrió nuevas herramientas en el arsenal del grupo que incluyen un conjunto de tres wipers previamente no documentados, así como una herramienta de extracción de bases de datos.
El análisis de los nuevos wipers reveló que Agonizing Serpens ha mejorado sus capacidades, haciendo hincapié en las técnicas de ocultación y evasión diseñadas para eludir soluciones de seguridad como la tecnología EDR.
Protección y control de daños
Una fase crucial del ataque consistía en obtener las contraseñas de usuarios con privilegios administrativos. Para ello, los atacantes intentaron múltiples métodos de obtención de contraseñas, que fueron impedidos por la plataforma Cortex XDR.
“El grupo intentó eludir las soluciones EDR durante sus ataques para realizarlos secretamente y sin interrupciones, pero nuestra plataforma bloqueó sus agresiones, a pesar de que probaron múltiples herramientas y técnicas de forma consecutiva”, detalla Germán Rincón.
Cortex XDR y XSIAM también identifican amenazas y contraseñas analizando la actividad de los usuarios a partir de múltiples fuentes de datos, al tiempo que proporcionan las siguientes protecciones relacionadas con los ataques señalados:
- Prevención de ejecución de amenazas malware conocidas y desconocidas utilizando Behavioral Threat Protection y aprendizaje automático basado en el módulo Local Analysis.
- Protección contra herramientas y técnicas de recopilación de credenciales utilizando la nueva Protección contra recopilación de credenciales disponible desde Cortex XDR 3.4.
- Protección contra la explotación de diferentes vulnerabilidades, incluidas ProxyShell y ProxyLogon, mediante los módulos Anti-Exploitation y Behavioral Threat Protection.
