Israëlische organisaties zijn doelwit van aanvallen door de dreigingsgroep Agonizing Serpens. Dit zijn cyberaanvallen op vooral Israëlische onderwijs- en techindustrie.
Dat blijkt uit onderzoek van Unit 42, de onderzoeksgroep van Palo Alto Networks. De aanvallers blijken hebben sterke banden te met een door Iran gesteunde APT-groep die Unit 42 volgt als Agonizing Serpens. De groep is ook bekend onder de naam Agrius.
Deze groep is actief sinds 2020 en staat bekend om zijn destructieve wiper- en fake ransomware-aanvallen. Agonizing Serpens richt zich voornamelijk op Israëlische organisaties in verschillende sectoren en landen.
De aanvallen begonnen in januari 2023. Ze gingen in elk geval door tot oktober 2023. Ze worden gekenmerkt door pogingen om gevoelige gegevens te stelen, waaronder persoonlijk identificeerbare informatie (PII) en intellectueel eigendom. Deze pogingen maken deel uit van een bredere aanvalscampagne op Israëlische organisaties.
Twee hoofddoelen
Aanvallen van Agonizing Serpens hebben meestal twee hoofddoelen. Het eerste is het stelen van gevoelige informatie. Tweede doel is het toebrengen van aanzienlijke schade door zoveel mogelijk endpoints te wissen.
Bij deze aanvallen stalen de bedreigingsactoren gevoelige informatie, waaronder PII en intellectueel eigendom, die opdoken op sociale media of Telegram-kanalen. Dit waarschijnlijk met het doel om angst te zaaien of reputatieschade aan te richten.
Analyse van de nieuwe wipers laat zien dat de groep zijn werkwijzen heeft uitgebreid. De nadruk ligt daarbij nu op stealth en ontwijkende technieken die zijn ontworpen om beveiligingsoplossingen zoals EDR-technologie te omzeilen.
Agonizing Serpens gebruikte tijdens de meest recente aanvallen zeker 3 nieuwe wipers en 1 database extractor-tool .
- MultiLayer wiper
- PartialWasher wiper
- BFG Agonizer wiper
- Sqlextractor – een op maat gemaakt hulpmiddel om informatie uit databaseservers op te halen
Volgens de onderzoekers worden de aanvallen momenteel scherper en heviger. Niet alle aanvallen slagen. Daarom deelt het bedrijf de informatie. Ze hopen dat bedrijven en instellingen er hun voordeel mee kunnen doen.
Lees ook:
- Bedrijfsspionage: hoe beperk je de impact?
- Hoe voorkom je dat jouw organisatie slachtoffer wordt van ransomware?