Образовательный сектор и IT-компании Израиля могут навсегда потерять конфиденциальные данные.
В сфере высшего образования и технологий Израиля с января 2023 года наблюдается серия разрушительных кибератак с использованием ранее неизвестного вредоносного ПО для удаления данных. Согласно отчёту компании Palo Alto Networks Unit 42, атаки, последняя из которых произошла в октябре, были направлены на кражу чувствительных данных, включая личную информацию и интеллектуальную собственность.
Иранская группировка Agonizing Serpens использовала различные вайперы для удаления следов и вывода из строя заражённых конечных точек. Среди вредоносных программ — три новых вайпера: MultiLayer, PartialWasher и BFG Agonizer, а также специальный инструмент Sqlextractor для извлечения информации из серверов баз данных и сбора конфиденциальной информации, такой как идентификационные номера, сканы паспортов, электронные адреса и места жительства. Вот описания инструментов, которые использует группа:
Группа Agonizing Serpens (Agrius, BlackShadow и Pink Sandstorm) активна с декабря 2020 года и связана с атаками на израильские цели. В мае Check Point подробно описала использование группой Agrius программы-вымогателя Moneybird в своих атаках на страну.
В последних атаках киберпреступники использовали уязвимые веб-серверы для первоначального доступа, развертывания веб-оболочек, разведки сетей жертв и кражи учётных данных пользователей с административными привилегиями. Затем происходит боковое перемещение (Lateral Movement) и эксфильтрация данных с помощью различных инструментов, включая Sqlextractor, WinSCP и PuTTY, и, в конечном итоге, доставка вредоносного ПО.
Учитывая последние события, исследователи Unit 42 считают, что группа Agonizing Serpens значительно усовершенствовала свои возможности и прилагает значительные усилия для обхода средств обнаружения вторжений и других мер безопасности, в том числе путём использования различных известных инструментов и пользовательских решений.
В Матрице безопасности выбор очевиден