Setores de educação e tecnologia de Israel foram alvos de uma série de ataques cibernéticos destrutivos que começaram em janeiro de 2023, com o objetivo de implantar um malware ‘wiper’ anteriormente não documentado.

As intrusões, que ocorreram até outubro, foram atribuídas a um grupo de hackers patrocinado pelo estado iraniano, conhecido como Agonizing Serpens.

Os ataques são caracterizados por tentativas de roubar dados sensíveis, como informações pessoais identificáveis (PII) e propriedade intelectual.

Depois de roubar as informações, eles implantaram vários ‘wipers’ com a intenção de cobrir os rastros dos atacantes e tornar os endpoints infectados inutilizáveis.

Isso inclui três ‘wipers’ diferentes e inovadores, como MultiLayer, PartialWasher e BFG Agonizer, além de uma ferramenta personalizada para extrair informações de servidores de banco de dados conhecida como Sqlextractor.

Ativo desde pelo menos dezembro de 2020, o Agonizing Serpens foi vinculado a ataques ‘wiper’ direcionados a entidades israelenses.

Segundo os pesquisadores o grupo recentemente atualizou suas capacidades e está investindo grandes esforços e recursos para tentar burlar EDR e outras medidas de segurança.

Para isso, eles têm alternado entre o uso de diferentes ferramentas conhecidas de prova de conceito (PoC) e ferramentas de pentesting, bem como ferramentas personalizadas.