Noviembre de 2023 – La reciente revelación de una serie de ciberataques destructivos dirigidos a instituciones en Israel ha encendido las alarmas sobre la creciente amenaza cibernética global. La investigación llevada a cabo por la Unidad de Investigación e Inteligencia de Amenazas de Palo Alto Networks, conocida como Unit 42, destaca la urgente necesidad de fortalecer nuestras defensas cibernéticas en un mundo interconectado.
Los agresores, identificados como el grupo APT respaldado por Irán Agonizing Serpens, lanzaron una serie de ataques desde principios de año hasta octubre pasado, centrándose especialmente en instituciones educativas y tecnológicas en Israel. Su objetivo claro era robar datos sensibles, incluyendo información personal y documentos relacionados con la propiedad intelectual. Pero lo más alarmante fue el uso de «limpiadores» para eliminar rastros y desactivar sistemas, evidenciando una nueva y peligrosa dimensión en las tácticas de los ciberataques.
Ramón García, District Sales Manager para Caribe y Centroamérica en Palo Alto Networks, subrayó que este incidente es un llamado de atención para todas las organizaciones en todo el mundo. Los ciberataques destructivos no reconocen fronteras geográficas ni sectores industriales específicos. Es una amenaza global que puede afectar a cualquier entidad, independientemente de su ubicación o sector.
¿Quién es el Grupo APT Agonizing Serpens?
Agonizing Serpens, también conocido como Agrius, BlackShadow, Pink Sandstorm y DEV-0022, es un grupo APT vinculado a Irán que ha estado activo desde 2020. Su enfoque distintivo es la ejecución de ataques destructivos utilizando «wipers» y ransomware falso. Aunque inicialmente se pensó que buscaban rescates, la investigación de Palo Alto Networks reveló que su objetivo real es el robo de datos y la interrupción de las operaciones comerciales.
Un Análisis Técnico Profundo: Nuevas Amenazas, Nuevas Defensas
La investigación también reveló herramientas previamente desconocidas en el arsenal de Agonizing Serpens, incluyendo tres «wipers» y una herramienta para la extracción de bases de datos. Estos ciberdelincuentes han evolucionado, mejorando sus capacidades para eludir soluciones de seguridad convencionales, haciendo hincapié en técnicas de evasión y ocultación diseñadas para burlar tecnologías como la EDR.
En este escenario, es vital contar con soluciones de seguridad cibernética efectivas y estar preparados para enfrentar amenazas en constante evolución. La plataforma Cortex XDR ha demostrado ser una defensa efectiva durante estos ataques, evitando intentos específicos de Agonizing Serpens para sortear soluciones EDR y operar de manera encubierta.
Protección y Control de Daños: Una Estrategia Integral
Durante estos ataques, una fase crítica implicó la obtención de credenciales de usuarios con privilegios administrativos. Aunque los atacantes intentaron diversos métodos, la plataforma Cortex XDR logró bloquear estos intentos de manera efectiva. En el paisaje actual de ciberseguridad, la creación de perfiles de comportamiento de usuarios mediante el aprendizaje automático es esencial. Tanto Cortex XDR como XSIAM utilizan el análisis de la actividad de los usuarios basado en múltiples fuentes de datos para detectar amenazas y proteger contra la recopilación de credenciales y la explotación de vulnerabilidades.
Este llamado a la acción es claro: la ciberseguridad es un desafío que debe abordarse globalmente. La protección de nuestros sistemas y datos es fundamental para preservar la integridad de nuestras instituciones y salvaguardar nuestro futuro digital. La amenaza es real, pero con soluciones adecuadas y una preparación continua, podemos construir una barrera impenetrable contra aquellos que buscan comprometer nuestra seguridad en línea.