O nouă amenințare malware distructivă numită AcidPour a fost observată în mediul online, având funcționalitate de ștergere a datelor și vizând dispozitivele IoT și de rețea Linux x86.
Ștergătoarele de date sunt o categorie de malware proiectată pentru atacuri distructive care șterg fișiere și date de pe dispozitivele vizate. Acest tip de malware este folosit în mod obișnuit pentru a perturba operațiunile unei organizații din motive politice sau ca o diversiune într-un atac mai amplu.
Noul malware observat de către cercetătorul în securitatea informației de la SentinelLabs, Tom Hegel, AcidPour, este considerat o variantă a ștergătorului de date AcidRain.
AcidRain este un malware de ștergere a datelor proiectat pentru a șterge fișiere de pe routere și modemuri. Acest malware a fost folosit într-un atac cibernetic împotriva furnizorului de comunicații prin satelit Viasat, care a afectat disponibilitatea serviciilor în Ucraina și Europa.
AcidPour a fost încărcat din Ucraina pe 16 martie 2024, ceea ce complică urmărirea operatorilor săi, deoarece AcidRain a fost folosit împotriva țării în trecut.
Un fir de discuție pe X de Juan Andrés Guerrero Saade oferă unele detalii despre noua variantă, deși nu se știe dacă a fost folosită în vreun atac și cine ar fi putut fi țintele sale.
AcidPour împărtășește multe similarități cu AcidRain, cum ar fi vizarea anumitor directoare și căi de dispozitive comune în distribuțiile Linux integrate, dar codul lor se suprapune cu aproximativ 30%.
Aceasta indică fie o evoluție semnificativă, fie posibil o origine diferită. Guerrero Saade spune că nu este exclus ca un alt grup de atacatori să fi replicat unele dintre funcționalitățile AcidRain.
AcidPour împărtășește logica de ștergere bazată pe controlul intrări/ieșiri (IOCTL) cu pluginul ‘dstr’ al VPNFilter și AcidRain, indicând o continuare sau adaptare a tehnicilor malitioase documentate anterior.
Noul malware include referințe la ‘/dev/ubiXX’ indicând o focalizare pe sisteme integrate care folosesc memorie flash.
Există de asemenea o referință la ‘/dev/dm-XX’, care sunt dispozitive de bloc virtuale asociate cu Managementul Volumelor Logice (LVM), respectiv. Dispozitivele de stocare conectate la rețea, inclusiv QNAP și Synology, utilizează LVM pentru a gestiona matricile RAID.
Aceste adiții sugerează că AcidPour ar putea viza o gamă mai largă de dispozitive sau sisteme decât predecesorul său, care viza arhitectura MIPS mai specifică.
Analistul de la SentinelLabs a distribuit public hash-ul malware-ului și a apelat comunitatea de cercetare în securitate să participe la analiza și verificarea în colaborare, deoarece țintele și volumul de distribuție sunt în prezent necunoscute. Un eșantion poate fi găsit pe VirusTotal.
Aceste adiții sugerează că AcidPour ar putea viza o gamă mai largă de dispozitive sau sisteme decât predecesorul său, care viza arhitectura MIPS mai specifică.
„Aceasta este o amenințare de urmărit. Îngrijorarea mea este crescută pentru că această variantă este o variantă AcidRain mai puternică, acoperind mai multe tipuri de hardware și sisteme de operare,” a avertizat Rob Joyce, Directorul de Securitate Cibernetică al NSA.
Leave a Reply