I ricercatori hanno scoperto una versione più pericolosa e prolifica del malware wiper utilizzato dall'intelligence militare russa per interrompere il servizio a banda larga satellitare in Ucraina appena prima dell'invasione del paese da parte della Russia nel febbraio 2022.
La nuova variante, “acidoversa," presenta molteplici somiglianze con il suo predecessore ma è compilato per l'architettura X86, a differenza di AcidRain che prendeva di mira i sistemi basati su MIPS. Secondo i ricercatori di SentinelOne che hanno scoperto la minaccia, il nuovo wiper include anche funzionalità per il suo utilizzo contro una gamma di obiettivi significativamente più ampia rispetto ad AcidRain.
Capacità distruttive più ampie
"Le capacità distruttive estese di AcidPour includono la logica Linux Unsorted Block Image (UBI) e Device Mapper (DM), che ha un impatto su palmari, IoT, reti o, in alcuni casi, dispositivi ICS", afferma Tom Hegel, ricercatore senior sulle minacce presso SentinelOne. "Anche dispositivi come storage area network (SAN), network attached storage (NAS) e array RAID dedicati rientrano ora nell'ambito degli effetti di AcidPour."
Un'altra nuova funzionalità di AcidPour è una funzione di autoeliminazione che cancella tutte le tracce del malware dai sistemi che infetta, afferma Hegel. AcidPour è nel complesso un pulitore relativamente più sofisticato di AcidRain, afferma, indicando l'uso eccessivo da parte di quest'ultimo del processo di biforcazione e la ripetizione ingiustificata di determinate operazioni come esempi della sua negligenza complessiva.
SentinelOne ha scoperto AcidRain nel febbraio 2022 a seguito di un attacco informatico ha messo offline circa 10,000 modem satellitari associato alla rete KA-SAT del fornitore di comunicazioni Viasat. L’attacco ha interrotto il servizio a banda larga per migliaia di clienti in Ucraina e per decine di migliaia di persone in Europa. SentinelOne ha concluso che il malware era probabilmente opera di un gruppo associato a Sandworm (alias APT 28, Fancy Bear e Sofacy), un'operazione russa responsabile di numerosi attacchi informatici dirompenti in Ucraina.
I ricercatori di SentinelOne hanno individuato per la prima volta la nuova variante, AcidPour, il 16 marzo, ma non hanno ancora osservato nessuno che la utilizzasse in un attacco vero e proprio.
Legami dei vermi della sabbia
La loro analisi iniziale del tergicristallo ha rivelato molteplici somiglianze con AcidRain, confermate poi da un successivo approfondimento. Le notevoli sovrapposizioni scoperte da SentinelOne includevano l'uso da parte di AcidPour dello stesso meccanismo di riavvio di AcidRain e la stessa logica per la cancellazione ricorsiva delle directory.
SentinelOne ha inoltre riscontrato che il meccanismo di pulizia basato su IOCTL di AcidPour è identico al meccanismo di pulizia di AcidRain e di VPNFilter, un piattaforma di attacco modulare di cui dispone il Dipartimento di Giustizia degli Stati Uniti legato al verme della sabbia. IOCTL è un meccanismo per cancellare o cancellare in modo sicuro i dati dai dispositivi di archiviazione inviando comandi specifici al dispositivo.
“Uno degli aspetti più interessanti di AcidPour è il suo stile di codifica, che ricorda il pragmatico Caddy Wiper ampiamente utilizzato contro obiettivi ucraini insieme a malware importanti come Industria 2", ha detto SentinelOne. Sia CaddyWiper che Industroyer 2 sono malware utilizzati da gruppi statali sostenuti dalla Russia in attacchi distruttivi contro organizzazioni in Ucraina, anche prima dell'invasione del paese da parte della Russia nel febbraio 2022.
Il CERT ucraino ha analizzato AcidPour e attribuito a UAC-0165, un attore pericoloso che fa parte del gruppo Sandworm, ha detto SentinelOne.
AcidPour e AcidRain sono tra i numerosi pulitori che gli attori russi hanno schierato contro obiettivi ucraini negli ultimi anni, e in particolare dopo l’inizio dell’attuale guerra tra i due paesi. Anche se l’autore della minaccia è riuscito a mettere offline migliaia di modem durante l’attacco Viasat, l’azienda è riuscita a recuperarli e redistribuirli dopo aver rimosso il malware.
In molti altri casi, tuttavia, le organizzazioni sono state costrette a eliminare i sistemi a seguito di un attacco wiper. Uno degli esempi più notevoli è il 2012 Shamoon attacco a Saudi Aramco che ha paralizzato circa 30,000 sistemi dell’azienda.
Come nel caso di Shamoon e AcidRain, gli autori delle minacce in genere non hanno bisogno di rendere i wiper sofisticati per essere efficaci. Questo perché l'unica funzione del malware è sovrascrivere o eliminare i dati dai sistemi e renderli inutilizzabili tattiche evasive e non sono necessarie tecniche di offuscamento associate al furto di dati e agli attacchi di spionaggio informatico.
La migliore difesa contro i wiper, o per limitare i danni che ne derivano, è implementare lo stesso tipo di difese adottate per il ransomware. Ciò significa disporre di backup per i dati critici e garantire solidi piani e capacità di risposta agli incidenti.
Anche la segmentazione della rete è fondamentale perché i tergicristalli sono più efficaci quando sono in grado di diffondersi ad altri sistemi, quindi quel tipo di postura di difesa aiuta a contrastare il movimento laterale.
- Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
- PlatoData.Network Generativo verticale Ai. Potenzia te stesso. Accedi qui.
- PlatoAiStream. Intelligenza Web3. Conoscenza amplificata. Accedi qui.
- PlatoneESG. Carbonio, Tecnologia pulita, Energia, Ambiente, Solare, Gestione dei rifiuti. Accedi qui.
- Platone Salute. Intelligence sulle biotecnologie e sulle sperimentazioni cliniche. Accedi qui.
- Fonte: https://www.darkreading.com/cyberattacks-data-breaches/russian-apt-releases-more-deadly-variant-of-acidrain-wiper-malware
