Una investigación reveló una serie de ciberataques destructivos dirigidos a instituciones israelíes. Se conoció que las agresiones se iniciaron a principios de año y continuaron hasta octubre pasado, y tenían como principal objetivo a organismos educativos tecnológicos del país de Medio Oriente. 

La investigación realizada por la Unit 42, Unidad de Investigación e Inteligencia de Amenazas de Palo Alto Networks, señaló que los ataques buscaban robar datos sensibles, desde información personal hasta documentos relacionados con la propiedad intelectual. Una vez que se concretaban las agresiones virtuales, se desplegaban limpiadores destinados a cubrir huellas e inutilizar terminales. 

Lo destacado de la investigación tiene que ver con la revelación de que los ataques tienen fuertes conexiones con un grupo APT (Advanced Persistent Threat), respaldado por Irán, que Unit 42 rastrea como Agonizing Serpens (también conocido como Agrius, BlackShadow, Pink Sandstorm, DEV-0022). 

Darío Opezzo, Country Manager de Palo Alto Networks en Argentina señaló que “los ataques no pudieron terminar de eludir Cortex XDR y el XSIAM, los cuales tienen la capacidad de detectar e impedir los ataques descritos. Al mismo tiempo la ciberseguridad puede construir perfiles de comportamiento de la actividad del usuario con aprendizajes automáticos, lo que les permite detectar actividad anómala indicativa de, por ejemplo, ataques basados en credenciales”.

¿Quién es el grupo APT Agonizing Serpens?

Agonizing Serpens es un grupo APT vinculado a Irán que ha estado activo desde 2020. El grupo es conocido por sus ataques destructivos de wiper y falso ransomware y se dirige principalmente a organizaciones israelíes de múltiples industrias y países.

Aunque en los primeros informes los ataques mencionaban una agresión ransomware y posteriores pedidos de rescate, luego se determinó que eso formaba parte de un engaño. Tras la investigación quedó demostrado que no se buscaba dinero, sino que el objetivo era vulnerar datos e interrumpir la continuidad de la actividad empresarial.

Los ataques de Agonizing Serpens suelen tener dos objetivos principales; el primero es robar información confidencial para publicar en redes sociales, mientras que el segundo -el más relevante- es sembrar el caos e infligir daños considerables borrando tantos endpoints como sea posible.

Una mirada técnica

El ataque forma parte de una campaña ofensiva más amplia dirigida a organizaciones israelíes, entre las que se destacan los sectores de la educación y la tecnología. La investigación de Palo Alto Networks descubrió nuevas herramientas en el arsenal del grupo que incluyen un conjunto de tres wipers previamente no documentados, así como una herramienta de extracción de bases de datos. 

El análisis de los nuevos wipers reveló que el grupo ha mejorado sus capacidades, haciendo hincapié en las técnicas de ocultación y evasión diseñadas para eludir soluciones de seguridad como la tecnología EDR. 

Protección y control de daños

Una fase crucial del ataque consistía en obtener las credenciales de usuarios con privilegios administrativos. Para ello, los atacantes intentaron múltiples métodos de obtención de credenciales, que fueron impedidos por la plataforma Cortex XDR.

“Durante el ataque, el grupo intentó específicamente eludir las soluciones EDR para llevar a cabo su ataque sin interrupciones y con mayor sigilo. Estos intentos fueron bloqueados por nuestra plataforma. Es interesante señalar que el grupo probó múltiples herramientas y técnicas, y cada vez que fracasaban con una, intentaban aprovechar otra”, explicó Opezzo.

Cortex XDR e XSIAM también detectan amenazas y credenciales analizando la actividad de los usuarios a partir de múltiples fuentes de datos, al tiempo que proporcionan las siguientes protecciones relacionadas con los ataques señalados:

• Prevención de ejecución de malware malicioso conocido y desconocido utilizando Behavioral Threat Protection y aprendizaje automático basado en el módulo Local Analysis.
• Protección contra herramientas y técnicas de recopilación de credenciales utilizando la nueva Protección contra recopilación de credenciales disponible desde Cortex XDR 3.4
• Protección contra la explotación de diferentes vulnerabilidades, incluidas ProxyShell y ProxyLogon, mediante los módulos Anti-Exploitation y Behavioral Threat Protection.

About The Author