Los investigadores han descubierto una versión más peligrosa y prolífica del malware de limpieza utilizado por la inteligencia militar rusa para interrumpir el servicio de banda ancha por satélite en Ucrania justo antes de la invasión rusa del país en febrero de 2022.
La nueva variante “ácido para,“tiene múltiples similitudes con su predecesor, pero está compilado para la arquitectura X86, a diferencia de AcidRain, que apuntaba a sistemas basados en MIPS. El nuevo limpiador también incluye características para su uso contra una gama significativamente más amplia de objetivos que AcidRain, según los investigadores de SentinelOne que descubrieron el amenaza.
Capacidades destructivas más amplias
“Las capacidades destructivas ampliadas de AcidPour incluyen la lógica Linux Unsorted Block Image (UBI) y Device Mapper (DM), que afecta a los dispositivos portátiles, IoT, redes o, en algunos casos, dispositivos ICS”, afirma Tom Hegel, investigador senior de amenazas de SentinelOne. “Los dispositivos como las redes de área de almacenamiento (SAN), el almacenamiento conectado a la red (NAS) y las matrices RAID dedicadas ahora también están dentro del alcance de los efectos de AcidPour”.
Otra nueva capacidad de AcidPour es una función de autoeliminación que borra todos los rastros del malware de los sistemas que infecta, afirma Hegel. AcidPour es un limpiador relativamente más sofisticado en general que AcidRain, dice, señalando el uso excesivo de bifurcación de procesos por parte de este último y la repetición injustificada de ciertas operaciones como ejemplos de su descuido general.
SentinelOne descubrió AcidRain en febrero de 2022 tras un ciberataque que dejó fuera de línea unos 10.000 módems satelitales asociado con la red KA-SAT del proveedor de comunicaciones Viasat. El ataque interrumpió el servicio de banda ancha para miles de clientes en Ucrania y para decenas de miles de personas en Europa. SentinelOne concluyó que el malware probablemente era obra de un grupo asociado con Sandworm (también conocido como APT 28, Fancy Bear y Sofacy), una operación rusa responsable de numerosos ciberataques disruptivos en Ucrania.
Los investigadores de SentinelOne detectaron por primera vez la nueva variante, AcidPour, el 16 de marzo, pero aún no han observado a nadie usándola en un ataque real.
Lazos de gusanos de arena
Su análisis inicial del limpiaparabrisas reveló múltiples similitudes con AcidRain, que luego confirmó una inmersión más profunda posterior. Las superposiciones notables que SentinelOne descubrió incluyeron el uso por parte de AcidPour del mismo mecanismo de reinicio que AcidRain y una lógica idéntica para la limpieza recursiva de directorios.
SentinelOne también descubrió que el mecanismo de limpieza basado en IOCTL de AcidPour es el mismo que el mecanismo de limpieza de AcidRain y VPNFilter, un plataforma de ataque modular que el Departamento de Justicia de EE.UU. ha vinculado a gusano de arena. IOCTL es un mecanismo para borrar o borrar datos de dispositivos de almacenamiento de forma segura mediante el envío de comandos específicos al dispositivo.
“Uno de los aspectos más interesantes de AcidPour es su estilo de codificación, que recuerda al pragmático Caddy limpiaparabrisas ampliamente utilizado contra objetivos ucranianos junto con malware notable como Industrial 2“, dijo SentinelOne. Tanto CaddyWiper como Industroyer 2 son malware utilizados por grupos estatales respaldados por Rusia en ataques destructivos contra organizaciones en Ucrania, incluso antes de la invasión rusa del país en febrero de 2022.
El CERT de Ucrania analizó AcidPour y lo atribuyó a UAC-0165, un actor de amenazas que forma parte del grupo Sandworm, dijo SentinelOne.
AcidPour y AcidRain se encuentran entre los numerosos limpiadores que los actores rusos han desplegado contra objetivos ucranianos en los últimos años, y particularmente después del inicio de la actual guerra entre los dos países. Aunque el actor de amenazas logró desconectar miles de módems en el ataque de Viasat, la empresa pudo recuperarlos y volver a implementarlos después de eliminar el malware.
Sin embargo, en muchos otros casos, las organizaciones se han visto obligadas a descartar sistemas tras un ataque de limpieza. Uno de los ejemplos más notables es el de 2012. chamoon Ataque de limpieza contra Saudi Aramco que paralizó unos 30.000 sistemas de la empresa.
Como fue el caso de Shamoon y AcidRain, los actores de amenazas normalmente no han necesitado hacer limpiadores sofisticados para ser efectivos. Esto se debe a que la única función del malware es sobrescribir o eliminar datos de los sistemas e inutilizarlos, por lo que tácticas evasivas y las técnicas de ofuscación asociadas con el robo de datos y los ataques de ciberespionaje no son necesarias.
La mejor defensa contra los limpiadores (o para limitar los daños causados por ellos) es implementar el mismo tipo de defensas que contra el ransomware. Eso significa contar con copias de seguridad de los datos críticos y garantizar capacidades y planes sólidos de respuesta a incidentes.
La segmentación de la red también es clave porque los limpiadores son más efectivos cuando pueden extenderse a otros sistemas, por lo que ese tipo de postura de defensa ayuda a frustrar el movimiento lateral.
Fuente Original darkreading
