Noticias del Mundo

Un malware de limpiaparabrisas nunca antes visto alcanza objetivos israelíes

Los investigadores lo dicen han descubierto un nuevo malware que se hace pasar por ransomware y que lanza ataques destructivos contra objetivos israelíes.

Apostle, como los investigadores de la firma de seguridad SentinelOne llaman al malware, se usó originalmente para borrar datos, pero probablemente no lo hizo debido a una falla lógica en el código. El nombre interno que le dieron los desarrolladores fue «Acción Wiper». En una versión posterior, el error se solucionó y el malware desarrolló un comportamiento de ransomware completo, incluida la capacidad de dejar notas pidiendo a las víctimas que paguen un rescate a cambio de una clave de descifrado.

En una publicación publicada el martes, los investigadores de SentinelOne dijeron que estaban muy seguros de que, según el código y los servidores que informó Apostle, el malware está siendo utilizado por un grupo recién descubierto con vínculos con el gobierno iraní. Si bien una nota de ransomware que encontraron los investigadores indicaba que Apostle se había utilizado contra una instalación crítica en los Emiratos Árabes Unidos, el objetivo principal era Israel.

«El uso de ransomware como herramienta disruptiva suele ser difícil de probar porque es difícil determinar las intenciones de un actor de amenazas», dijo el informe del martes. «El análisis de malware de Apostle proporciona una visión poco común de este tipo de ataque, trazando una línea clara entre lo que comenzó como un malware de limpiaparabrisas y un ransomware completamente funcional».

Artículo Recomendado:  Tiroteo en universidad deja un muerto en Heidelberg, Alemania

Los investigadores nombraron al nuevo grupo de piratería Agrius. SentinelOne vio que el grupo usó Apostle primero como limpiador de disco, aunque un error en el malware lo impidió, probablemente debido a una falla lógica en su código. Luego, Agrius recurrió a Deadwood, un limpiaparabrisas que se había utilizado contra un objetivo en Arabia Saudita en 2019.

La nueva versión de Apostel de Agrius es un ransomware completo.

«Creemos que la implementación de la función de encriptación es enmascarar su propósito real: la destrucción de los datos de las víctimas», dijo la publicación del martes. «Esta tesis está respaldada por una versión anterior de Apostel, a la que los atacantes se referían internamente como una» acción de limpieza «».

Apostel tiene una gran superposición de código con una puerta trasera llamada IPSec Helper, que también usa Agrius. IPSec Helper recibe una variedad de comandos, p. Ej. Por ejemplo, descargar y ejecutar un archivo ejecutable emitido por el servidor de control del atacante. Tanto Apostel como IPSec Helper están escritos en lenguaje .NET.

Agrius también utiliza webshells para permitir que los atacantes se muevan hacia los lados dentro de una red comprometida. Para ocultar sus direcciones IP, los miembros usan ProtonVPN.

Los piratas informáticos patrocinados por Irán ya tenían afinidad por los limpiaparabrisas. En 2012, la red de Saudi Aramco, con sede en Arabia Saudita, el mayor exportador de petróleo crudo del mundo, fue destruida por malware autorreplicante y los discos duros de más de 30.000 estaciones de trabajo fueron destruidos permanentemente. Más tarde, los investigadores identificaron al gusano limpiaparabrisas como un shamoon y dijeron que era obra de Irán.

En 2016, Shamoon reapareció en una campaña que afectó a varias organizaciones en Arabia Saudita, incluidas varias agencias gubernamentales. Tres años después, los investigadores descubrieron un nuevo limpiaparabrisas iraní llamado ZeroCleare.

Apostel no es el primer limpiaparabrisas disfrazado de ransomware. NotPetya, el gusano que causó miles de millones de dólares en daños en todo el mundo, también se disfrazó de ransomware hasta que los investigadores descubrieron que fue creado por piratas informáticos respaldados por el gobierno ruso para desestabilizar Ucrania.

Juan Andrés Guerrero-Saade, investigador principal de amenazas de SentinelOne, dijo en una entrevista que el malware como Apostle ejemplifica la interacción entre los ciberdelincuentes motivados financieramente y los piratas informáticos de los estados nacionales.

«El ecosistema de amenazas está evolucionando y los atacantes están desarrollando diferentes técnicas para lograr sus objetivos», dijo. “Vemos que los ciberdelincuentes aprenden de los grupos de estados-nación con mejores recursos. Los grupos nacionales también piden préstamos a bandas criminales y enmascaran sus ataques disruptivos bajo la apariencia de ransomware, sin indicar si las víctimas realmente recuperarán sus archivos a cambio de un rescate. «

Esta historia apareció originalmente en Ars Technica.


Más historias geniales de WIRED

.

Artículo Recomendado:  Con valentía y talento como actor, Zelensky dice que se quedará en Kiev

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba