José ZegarraPalo Alto Networks: Hackers en guerra virtual contra instituciones de Israel. Informe de la empresa de ciberseguridad indica que piratas informáticos atacaron sectores de la enseñanza superior y tecnología israelíes. Los ataques tienen fuertes conexiones con un grupo de amenazas persistentes avanzadas respaldado por Irán, que Unit 42 rastrea como Agonizing Serpens.
Lima, Perú, 22 de noviembre de 2023.— Una investigación de la empresa de ciberseguridad Palo Alto Networks reveló una serie de ciberataques dirigidos a instituciones de Israel. Se conoció que las agresiones se iniciaron a principios de año y continuaron hasta octubre pasado, y tenían como principal objetivo a organismos educativos tecnológicos israelíes.
La investigación realizada por Unit 42, la Unidad de Investigación e Inteligencia de Amenazas de Palo Alto Networks, señaló que los ataques buscaban robar datos sensibles, desde información personal hasta documentos relacionados con la propiedad intelectual. Una vez que se concretaban las agresiones virtuales, se desplegaban wipers (un tipo de malware que borran archivos/datos de las computadoras) destinados a cubrir huellas e inutilizar terminales.
Lo destacado de la investigación tiene que ver con la revelación de que los ataques tienen fuertes conexiones con un grupo de amenazas persistentes avanzadas (APT, por sus siglas en inglés), respaldado por Irán, que Unit 42 rastrea como Agonizing Serpens (también conocido como Agrius, BlackShadow, Pink Sandstorm, DEV-0022).
Estos ciberataques no pudieron eludir a Cortex XDR y XSIAM, los cuales tienen la capacidad de detectar e impedir este tipo de agresiones y, al mismo tiempo, construir perfiles de comportamiento de la actividad de los usuarios mediante aprendizaje automático, lo cual permite detectar actividad anómala, como por ejemplo, ataques cuyo fin es conseguir credenciales/contraseñas”, explica Kenneth Tovar Roca, Country Manager de Palo Alto Networks para Perú y Bolivia.
Table of Contents
¿Qué es el grupo Agonizing Serpens?
Agonizing Serpens es un grupo amenazas persistentes avanzadas vinculado a Irán que ha estado activo desde el año 2020. El grupo es conocido por sus ataques destructivos de wiper y falso ransomware, y se dirige principalmente a organizaciones israelíes de múltiples industrias y países.
Aunque en los primeros informes los ataques mencionaban una agresión ransomware y posteriores pedidos de rescate, luego se determinó que se trataba de un engaño. Tras la investigación quedó demostrado que no se buscaba dinero, sino que el objetivo era vulnerar datos e interrumpir la continuidad de la actividad empresarial.
Los ataques de Agonizing Serpens suelen tener dos objetivos principales; el primero es robar información confidencial para publicar en redes sociales, mientras que el segundo —el más relevante— es sembrar el caos e infligir daños considerables borrando borrando todo el disco duro de todas las computadoras/servidores como le sea posible.
Una mirada técnica
El ataque forma parte de una campaña ofensiva más amplia dirigida a organizaciones israelíes, entre las que se destacan los sectores de la educación y la tecnología. La investigación de Palo Alto Networks descubrió nuevas herramientas en el arsenal del grupo que incluyen un conjunto de tres wipers previamente no documentados, así como una herramienta de extracción de bases de datos.
El análisis de los nuevos wipers reveló que Agonizing Serpens ha mejorado sus capacidades, haciendo hincapié en las técnicas de ocultación y evasión diseñadas para eludir soluciones de seguridad como la tecnología EDR.
Protección y control de daños
Una fase crucial del ataque consistía en obtener las contraseñas de usuarios con privilegios administrativos. Para ello, los atacantes intentaron múltiples métodos de obtención de contraseñas, que fueron impedidos por la plataforma Cortex XDR.
El grupo intentó eludir las soluciones EDR durante sus ataques para realizarlos secretamente y sin interrupciones, pero nuestra plataforma bloqueó sus agresiones, a pesar de que probaron múltiples herramientas y técnicas de forma consecutiva, detalla Tovar Roca.
Cortex XDR y XSIAM también identifican amenazas y contraseñas analizando la actividad de los usuarios a partir de múltiples fuentes de datos, al tiempo que proporcionan las siguientes protecciones relacionadas con los ataques señalados:
- Prevención de ejecución de amenazas malware conocidas y desconocidas utilizando Behavioral Threat Protection y aprendizaje automático basado en el módulo Local Analysis.
- Protección contra herramientas y técnicas de recopilación de credenciales utilizando la nueva Protección contra recopilación de credenciales disponible desde Cortex XDR 3.4
- Protección contra la explotación de diferentes vulnerabilidades, incluidas ProxyShell y ProxyLogon, mediante los módulos Anti-Exploitation y Behavioral Threat Protection.
Acerca de Palo Alto Networks
Palo Alto Networks es el líder mundial en ciberseguridad. Innovamos para superar las ciber amenazas, de modo que las organizaciones puedan adoptar la tecnología con confianza. Palo Alto Networks es el líder mundial en ciberseguridad. Brindamos seguridad cibernética de última generación a miles de clientes en todo el mundo, en todos los sectores. Nuestras mejores plataformas y servicios de ciberseguridad en su clase están respaldados por inteligencia de amenazas líder en la industria y fortalecidos por automatización de última generación. Ya sea implementando nuestros productos para habilitar Zero Trust Enterprise, respondiendo a un incidente de seguridad o asociándonos para ofrecer mejores resultados de seguridad a través de un ecosistema de socios de clase mundial, estamos comprometidos a ayudar a garantizar que cada día sea más seguro que el anterior. Es lo que nos convierte en el socio de ciberseguridad preferido.
En Palo Alto Networks, nos comprometemos a reunir a las mejores personas al servicio de nuestra misión, por lo que también nos enorgullece ser el lugar de trabajo de ciberseguridad elegido, reconocido entre los lugares de trabajo más queridos de Newsweek (2021), Comparably Best Companies for Diversity (2021) y HRC Best Places for LGBTQ Equality (2022). Para obtener más información, visite www.paloaltonetworks.com.
Palo Alto Networks, Prisma y el logotipo de Palo Alto Networks son marcas comerciales de Palo Alto Networks, Inc. en los Estados Unidos y en jurisdicciones de todo el mundo. Todas las demás marcas comerciales, nombres comerciales o marcas de servicio utilizadas o mencionadas en este documento pertenecen a sus respectivos propietarios. Todos los servicios o características no publicados (y cualquier servicio o característica que generalmente no esté disponible para los clientes) a los que se hace referencia en este u otros comunicados de prensa o declaraciones públicas no están disponibles actualmente (o todavía no están disponibles para los clientes en general) y es posible que no se entreguen cuando se espera o en todos. Los clientes que adquieran aplicaciones de Palo Alto Networks deben tomar sus decisiones de compra en función de los servicios y las funciones actualmente disponibles en general.
Apoya al Periodismo Independiente
¿Te sirvió en algo este contenido?, ayúdanos a combatir la Desinformación, dona desde S/ 1.00 a nuestro PLIN 943-438-457
