Russian APT lansează o variantă mai mortală a programului malware AcidRain Wiper

Cercetătorii au descoperit o versiune mai periculoasă și mai prolifică a malware-ului ștergător folosit de informațiile militare ruse pentru a perturba serviciul de bandă largă prin satelit în Ucraina, chiar înainte de invazia Rusiei în țara în februarie 2022.

Noua variantă, „AcidPour,” prezintă multiple asemănări cu predecesorul său, dar este compilat pentru arhitectura X86, spre deosebire de AcidRain care viza sisteme bazate pe MIPS. Noul ștergător include, de asemenea, funcții pentru utilizarea împotriva unei game semnificativ mai largi de ținte decât AcidRain, potrivit cercetătorilor de la SentinelOne care au descoperit amenințarea.

Capacități distructive mai largi

„Capacitățile distructive extinse ale AcidPour includ Linux Unsorted Block Image (UBI) și logica Device Mapper (DM), care afectează dispozitivele portabile, IoT, rețelele sau, în unele cazuri, dispozitivele ICS”, spune Tom Hegel, cercetător senior pentru amenințări la SentinelOne. „Dispozitive precum rețelele de zonă de stocare (SAN), stocarea atașată la rețea (NAS) și matricele RAID dedicate sunt, de asemenea, acum în domeniul de aplicare pentru efectele AcidPour.”

O altă capacitate nouă a AcidPour este o funcție de auto-ștergere care șterge toate urmele malware-ului din sistemele pe care le infectează, spune Hegel. AcidPour este un ștergător relativ mai sofisticat decât AcidRain, spune el, subliniind utilizarea excesivă de către acesta din urmă a bifurcării procesului și repetarea nejustificată a anumitor operațiuni ca exemple ale neglijenței sale generale.

SentinelOne a descoperit AcidRain în februarie 2022, în urma unui atac cibernetic care a scos offline aproximativ 10,000 de modemuri satelit asociat cu rețeaua KA-SAT a furnizorului de comunicații Viasat. Atacul a perturbat serviciul de bandă largă pentru consumatori pentru mii de clienți din Ucraina și pentru zeci de mii de oameni din Europa. SentinelOne a concluzionat că malware-ul a fost probabil opera unui grup asociat cu Sandworm (alias APT 28, Fancy Bear și Sofacy), o operațiune rusă responsabilă pentru numeroase atacuri cibernetice perturbatoare în Ucraina.

Cercetătorii SentinelOne au observat pentru prima dată noua variantă, AcidPour, pe 16 martie, dar încă nu au observat pe nimeni să o folosească într-un atac real.

Legături de vierme de nisip

Analiza lor inițială a ștergătoarelor a dezvăluit asemănări multiple cu AcidRain – pe care o scufundare ulterioară mai adâncă le-a confirmat. Suprapunerile notabile pe care le-a descoperit SentinelOne au inclus utilizarea de către AcidPour a aceluiași mecanism de repornire ca și AcidRain și o logică identică pentru ștergerea recursivă a directoarelor.

SentinelOne a constatat, de asemenea, că mecanismul de ștergere bazat pe IOCTL al AcidPour este același cu mecanismul de ștergere din AcidRain și din VPNFilter, un platformă modulară de atac pe care le are Departamentul de Justiție al SUA legat de Sandworm. IOCTL este un mecanism pentru ștergerea sau ștergerea în siguranță a datelor de pe dispozitivele de stocare prin trimiterea unor comenzi specifice către dispozitiv.

„Unul dintre cele mai interesante aspecte ale AcidPour este stilul său de codare, care amintește de pragmatul CaddyWiper utilizat pe scară largă împotriva țintelor ucrainene alături de programe malware notabile precum Industria 2”, a spus SentinelOne. Atât CaddyWiper, cât și Industroyer 2 sunt programe malware folosite de grupurile de stat susținute de Rusia în atacuri distructive asupra organizațiilor din Ucraina, chiar înainte de invazia Rusiei din februarie 2022 a țării.

CERT din Ucraina a analizat AcidPour și a atribuit UAC-0165, un actor de amenințare care face parte din grupul Sandworm, a spus SentinelOne.

AcidPour și AcidRain se numără printre numeroasele ștergătoare pe care actorii ruși le-au desfășurat împotriva țintelor ucrainene în ultimii ani — și în special după declanșarea războiului actual dintre cele două țări. Chiar dacă actorul amenințării a reușit să scoată mii de modemuri offline în atacul Viasat, compania a reușit să le recupereze și să le redistribuie după ce a eliminat malware-ul.

În multe alte cazuri, totuși, organizațiile au fost forțate să renunțe la sisteme în urma unui atac de ștergere. Unul dintre cele mai notabile exemple este 2012 Shamoon Atacul ștergător asupra Saudi Aramco care a paralizat aproximativ 30,000 de sisteme ale companiei.

Așa cum a fost cazul cu Shamoon și AcidRain, actorii amenințărilor de obicei nu au nevoie să facă ștergătoare sofisticate pentru a fi eficiente. Asta pentru că singura funcție a malware-ului este de a suprascrie sau de a șterge datele din sisteme și de a le face inutile, deci tactici evazive iar tehnicile de ofuscare asociate cu furtul de date și atacurile de spionaj cibernetic nu sunt necesare.

Cea mai bună apărare pentru ștergătoare - sau pentru a limita daunele cauzate de acestea - este să implementați același tip de apărare ca și pentru ransomware. Aceasta înseamnă să existe copii de rezervă pentru datele critice și să asigurăm planuri și capabilități solide de răspuns la incidente.

Segmentarea rețelei este, de asemenea, esențială, deoarece ștergătoarele sunt mai eficiente atunci când sunt capabile să se răspândească în alte sisteme, astfel încât acel tip de postură de apărare ajută la împiedicarea mișcării laterale.

• Distribuție de conținut bazat pe SEO și PR. Amplifică-te astăzi.
• PlatoData.Network Vertical Generative Ai. Împuterniciți-vă. Accesați Aici.
• PlatoAiStream. Web3 Intelligence. Cunoștințe amplificate. Accesați Aici.
• PlatoESG. carbon, CleanTech, Energie, Mediu inconjurator, Solar, Managementul deșeurilor. Accesați Aici.
• PlatoHealth. Biotehnologie și Inteligență pentru studii clinice. Accesați Aici.
• Sursa: https://www.darkreading.com/cyberattacks-data-breaches/russian-apt-releases-more-deadly-variant-of-acidrain-wiper-malware