Zephyrnet Logo

Inteligência de dados generativa

Cíber segurança

APT russo lança variante mais mortal do malware AcidRain Wiper

Republicado por Platão
Republicado por Platão

Data:

Visualizações: 89

Os pesquisadores descobriram uma versão mais perigosa e prolífica do malware limpador usado pela inteligência militar russa para interromper o serviço de banda larga via satélite na Ucrânia, pouco antes da invasão do país pela Rússia em fevereiro de 2022.

A nova variante, “AcidPour,”tem múltiplas semelhanças com seu antecessor, mas é compilado para a arquitetura X86, ao contrário do AcidRain, que tinha como alvo sistemas baseados em MIPS. O novo limpador também inclui recursos para uso contra uma gama significativamente mais ampla de alvos do que o AcidRain, de acordo com pesquisadores da SentinelOne que descobriram a ameaça.

Capacidades destrutivas mais amplas

“Os recursos destrutivos expandidos do AcidPour incluem a lógica Linux Unsorted Block Image (UBI) e Device Mapper (DM), que afeta dispositivos portáteis, IoT, redes ou, em alguns casos, dispositivos ICS”, diz Tom Hegel, pesquisador sênior de ameaças da SentinelOne. “Dispositivos como redes de área de armazenamento (SANs), armazenamento conectado à rede (NAS) e matrizes RAID dedicadas também estão agora no escopo dos efeitos do AcidPour.”

Outra nova capacidade do AcidPour é uma função de autoexclusão que apaga todos os vestígios do malware dos sistemas que infecta, diz Hegel. AcidPour é um limpador relativamente mais sofisticado em geral do que AcidRain, diz ele, apontando para o uso excessivo de bifurcação de processo por este último e a repetição injustificada de certas operações como exemplos de sua negligência geral.

SentinelOne descobriu AcidRain em fevereiro de 2022 após um ataque cibernético que desligou cerca de 10,000 modems de satélite associado à rede KA-SAT do provedor de comunicações Viasat. O ataque interrompeu o serviço de banda larga ao consumidor para milhares de clientes na Ucrânia e para dezenas de milhares de pessoas na Europa. O SentinelOne concluiu que o malware era provavelmente obra de um grupo associado ao Sandworm (também conhecido como APT 28, Fancy Bear e Sofacy), uma operação russa responsável por numerosos ataques cibernéticos disruptivos na Ucrânia.

Os pesquisadores do SentinelOne detectaram pela primeira vez a nova variante, AcidPour, em 16 de março, mas ainda não observaram ninguém a usando em um ataque real.

Laços de verme da areia

A análise inicial do limpador revelou múltiplas semelhanças com o AcidRain – que um mergulho subsequente mais profundo confirmou. As sobreposições notáveis ​​​​que o SentinelOne descobriu incluíam o uso do mesmo mecanismo de reinicialização do AcidPour pelo AcidRain e lógica idêntica para limpeza recursiva de diretórios.

O SentinelOne também descobriu que o mecanismo de limpeza baseado em IOCTL do AcidPour é igual ao mecanismo de limpeza do AcidRain e do VPNFilter, um plataforma de ataque modular que o Departamento de Justiça dos EUA vinculado ao Sandworm. IOCTL é um mecanismo para apagar ou limpar dados com segurança de dispositivos de armazenamento, enviando comandos específicos para o dispositivo.

“Um dos aspectos mais interessantes do AcidPour é o seu estilo de codificação, que lembra o pragmático CaddyWiper amplamente utilizado contra alvos ucranianos junto com malware notável como Industria 2”, disse SentinelOne. Tanto o CaddyWiper quanto o Industroyer 2 são malwares usados ​​por grupos estatais apoiados pela Rússia em ataques destrutivos a organizações na Ucrânia, mesmo antes da invasão do país pela Rússia em fevereiro de 2022.

O CERT da Ucrânia analisou AcidPour e atribuiu-o ao UAC-0165, um ator de ameaça que faz parte do grupo Sandworm, disse SentinelOne.

AcidPour e AcidRain estão entre os numerosos limpadores que os intervenientes russos utilizaram contra alvos ucranianos nos últimos anos – e particularmente após o início da actual guerra entre os dois países. Embora o agente da ameaça tenha conseguido desligar milhares de modems no ataque à Viasat, a empresa conseguiu recuperá-los e reimplantá-los após remover o malware.

Em muitos outros casos, porém, as organizações foram forçadas a descartar sistemas após um ataque de limpeza. Um dos exemplos mais notáveis ​​é o de 2012 shamoon ataque de limpador na Saudi Aramco que paralisou cerca de 30,000 sistemas da empresa.

Como foi o caso do Shamoon e do AcidRain, os agentes de ameaças normalmente não precisam tornar os limpadores sofisticados para serem eficazes. Isso ocorre porque a única função do malware é sobrescrever ou excluir dados dos sistemas e torná-los inúteis. táticas evasivas e as técnicas de ofuscação associadas ao roubo de dados e aos ataques de espionagem cibernética não são necessárias.

A melhor defesa para os limpadores – ou para limitar os danos causados ​​por eles – é implementar o mesmo tipo de defesa que para o ransomware. Isso significa ter backups para dados críticos e garantir planos e recursos robustos de resposta a incidentes.

A segmentação da rede também é fundamental porque os limpadores são mais eficazes quando conseguem se espalhar para outros sistemas, de modo que esse tipo de postura de defesa ajuda a impedir o movimento lateral.

local_img

Inteligência mais recente

local_img

Direitos autorais @ 2024 Plato Technologies Inc.