Forscher haben eine gefährlichere und produktivere Version der Wiper-Malware entdeckt, die vom russischen Militärgeheimdienst verwendet wurde, um den Satellitenbreitbanddienst in der Ukraine kurz vor der russischen Invasion des Landes im Februar 2022 zu stören.
Die neue Variante „AcidPour,„ weist zahlreiche Ähnlichkeiten mit seinem Vorgänger auf, ist jedoch für die X86-Architektur kompiliert, im Gegensatz zu AcidRain, das auf MIPS-basierte Systeme abzielte. Laut Forschern von SentinelOne, die die Bedrohung entdeckt haben, verfügt der neue Wischer auch über Funktionen für den Einsatz gegen ein deutlich breiteres Spektrum an Zielen als AcidRain.
Größere zerstörerische Fähigkeiten
„Zu den erweiterten Zerstörungsfähigkeiten von AcidPour gehören Linux Unsorted Block Image (UBI) und Device Mapper (DM)-Logik, die sich auf Handhelds, IoT, Netzwerke oder in manchen Fällen auch auf ICS-Geräte auswirkt“, sagt Tom Hegel, leitender Bedrohungsforscher bei SentinelOne. „Geräte wie Storage Area Networks (SANs), Network Attached Storage (NAS) und dedizierte RAID-Arrays fallen nun ebenfalls in den Wirkungsbereich von AcidPour.“
Eine weitere neue Funktion von AcidPour ist eine Selbstlöschfunktion, die alle Spuren der Malware von den infizierten Systemen löscht, sagt Hegel. AcidPour sei im Großen und Ganzen ein relativ ausgefeilterer Wischer als AcidRain, sagt er und verweist auf den übermäßigen Einsatz von Prozessverzweigungen und die ungerechtfertigte Wiederholung bestimmter Vorgänge als Beispiele für seine allgemeine Schlamperei.
SentinelOne entdeckte AcidRain im Februar 2022 nach einem Cyberangriff hat etwa 10,000 Satellitenmodems offline geschaltet verbunden mit dem KA-SAT-Netzwerk des Kommunikationsanbieters Viasat. Durch den Angriff wurde der Breitbanddienst für Verbraucher für Tausende Kunden in der Ukraine und für Zehntausende Menschen in Europa unterbrochen. SentinelOne kam zu dem Schluss, dass die Malware wahrscheinlich das Werk einer Gruppe war, die mit Sandworm (auch bekannt als APT 28, Fancy Bear und Sofacy) in Verbindung steht, einem russischen Unternehmen, das dafür verantwortlich ist zahlreiche disruptive Cyberangriffe in der Ukraine.
SentinelOne-Forscher entdeckten die neue Variante, AcidPour, erstmals am 16. März, konnten jedoch bisher noch niemanden beobachten, der sie bei einem tatsächlichen Angriff einsetzte.
Sandwurm-Krawatten
Ihre erste Analyse des Wischers ergab mehrere Ähnlichkeiten mit AcidRain – was ein anschließender tieferer Tauchgang dann bestätigte. Zu den bemerkenswerten Überschneidungen, die SentinelOne entdeckte, gehörte die Verwendung des gleichen Neustartmechanismus durch AcidPour wie AcidRain und der identischen Logik für das rekursive Löschen von Verzeichnissen.
SentinelOne stellte außerdem fest, dass der IOCTL-basierte Löschmechanismus von AcidPour derselbe ist wie der Löschmechanismus in AcidRain und in VPNFilter, a modulare Angriffsplattform dass das US-Justizministerium hat verbunden mit Sandwurm. IOCTL ist ein Mechanismus zum sicheren Löschen oder Löschen von Daten von Speichergeräten durch Senden spezifischer Befehle an das Gerät.
„Einer der interessantesten Aspekte von AcidPour ist sein Codierungsstil, der an das Pragmatische erinnert CaddyWiper wird neben namhafter Malware wie z. B. auch häufig gegen ukrainische Ziele eingesetzt Industrieller 2“, sagte SentinelOne. Sowohl CaddyWiper als auch Industroyer 2 sind Malware, die von von Russland unterstützten staatlichen Gruppen für zerstörerische Angriffe auf Organisationen in der Ukraine eingesetzt wurde, noch bevor Russland im Februar 2022 in das Land einmarschierte.
Das ukrainische CERT hat AcidPour analysiert und UAC-0165 einem Bedrohungsakteur zugeschrieben, der Teil der Sandworm-Gruppe ist, sagte SentinelOne.
AcidPour und AcidRain gehören zu den zahlreichen Scheibenwischern, die russische Akteure in den letzten Jahren gegen ukrainische Ziele eingesetzt haben – und insbesondere nach Beginn des aktuellen Krieges zwischen den beiden Ländern. Obwohl es dem Bedrohungsakteur bei dem Viasat-Angriff gelang, Tausende von Modems offline zu schalten, konnte das Unternehmen sie wiederherstellen und erneut bereitstellen, nachdem die Malware entfernt wurde.
In vielen anderen Fällen waren Unternehmen jedoch gezwungen, Systeme nach einem Wiper-Angriff zu entsorgen. Eines der bemerkenswertesten Beispiele ist das Jahr 2012 Shamoon Wiper-Angriff auf Saudi Aramco, der etwa 30,000 Systeme des Unternehmens lahmlegte.
Wie im Fall von Shamoon und AcidRain mussten Bedrohungsakteure in der Regel keine hochentwickelten Wiper entwickeln, um effektiv zu sein. Denn die einzige Funktion der Malware besteht darin, Daten von Systemen zu überschreiben oder zu löschen und sie unbrauchbar zu machen Ausweichtaktiken und Verschleierungstechniken im Zusammenhang mit Datendiebstahl und Cyberspionageangriffen sind nicht erforderlich.
Der beste Schutz gegen Wiper – oder zur Schadensbegrenzung durch sie – besteht darin, die gleichen Abwehrmaßnahmen wie bei Ransomware zu implementieren. Das bedeutet, dass Backups für kritische Daten vorhanden sind und robuste Pläne und Fähigkeiten zur Reaktion auf Vorfälle sichergestellt werden müssen.
Die Netzwerksegmentierung ist ebenfalls von entscheidender Bedeutung, da Wiper effektiver sind, wenn sie sich auf andere Systeme ausbreiten können, sodass diese Art der Verteidigungshaltung dazu beiträgt, seitliche Bewegungen zu verhindern.
- SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
- PlatoData.Network Vertikale generative KI. Motiviere dich selbst. Hier zugreifen.
- PlatoAiStream. Web3-Intelligenz. Wissen verstärkt. Hier zugreifen.
- PlatoESG. Kohlenstoff, CleanTech, Energie, Umwelt, Solar, Abfallwirtschaft. Hier zugreifen.
- PlatoHealth. Informationen zu Biotechnologie und klinischen Studien. Hier zugreifen.
- Quelle: https://www.darkreading.com/cyberattacks-data-breaches/russian-apt-releases-more-deadly-variant-of-acidrain-wiper-malware
