Es ransomware, o tal vez un limpiaparabrisas, y es un objetivo conspicuo en Israel.


La bandera de Irán.

Los investigadores dicen que han descubierto malware nunca antes visto disfrazado de ransomware y que lanza ataques destructivos contra objetivos israelíes.

Apostle, como los investigadores de la firma de seguridad SentinelOne llaman al malware, se usó originalmente para borrar datos, pero no lo fue, probablemente debido a una falla lógica en el código. El nombre interno que le dieron los desarrolladores fue «Acción Wiper». En una versión posterior, el error se solucionó y el malware desarrolló un comportamiento de ransomware completo, que incluía dejar notas pidiendo a las víctimas que pagaran un rescate a cambio de una clave de descifrado.

Una linea clara

En una publicación publicada el martes, los investigadores de SentinelOne dijeron con gran certeza que, según el código y los servidores que informó Apostle, el malware estaba siendo utilizado por un grupo nunca antes visto con vínculos con el gobierno iraní. Si bien una nota de ransomware que recuperaron indicaba que Apostle había sido utilizado contra una instalación crítica en los Emiratos Árabes Unidos, el objetivo principal era Israel.

«El uso de ransomware como herramienta disruptiva suele ser difícil de probar porque es difícil determinar las intenciones de un actor de amenazas», dijo el informe del martes. «El análisis de malware de Apostle proporciona una visión poco común de este tipo de ataque, trazando una línea clara entre lo que comenzó como un malware de limpiaparabrisas y un ransomware completamente funcional».

Los investigadores nombraron al grupo de piratería Agrius recién descubierto. SentinelOne vio que el grupo usó Apostle primero como limpiador de disco, aunque un error en el malware lo impidió, probablemente debido a una falla lógica en su código. Luego, Agrius recurrió a Deadwood, un limpiaparabrisas que se había utilizado contra un objetivo en Arabia Saudita en 2019.

Cuando Agrius lanzó una nueva versión de Apostle, era un ransomware completo.

«Creemos que la implementación de la función de cifrado es enmascarar su propósito real: la destrucción de los datos de las víctimas», dijo la contribución el martes. «Esta tesis está respaldada por una versión anterior de Apostle, a la que los atacantes se referían internamente como una» acción de limpieza «.

Apostel tiene una gran superposición de código con una puerta trasera llamada IPSec Helper, que también usa Agrius. IPSec Helper recibe una variedad de comandos, p. Ej. Por ejemplo, descargar y ejecutar un archivo ejecutable emitido por el servidor de control del atacante. Tanto Apostel como IPSec Helper están escritos en lenguaje .NET.

Agrius también utiliza webshells para permitir que los atacantes se muevan hacia los lados dentro de una red comprometida. Para ocultar sus direcciones IP, los miembros usan ProtonVPN.

Afinidad por los limpiaparabrisas

Los piratas informáticos patrocinados por Irán ya tenían afinidad con los limpiaparabrisas. En 2012, la red de Saudi Aramco, con sede en Arabia Saudita, el mayor exportador de petróleo crudo del mundo, fue destruida por malware autorreplicante y los discos duros de más de 30.000 estaciones de trabajo fueron destruidos permanentemente. Más tarde, los investigadores identificaron al gusano limpiaparabrisas como un shamoon y dijeron que era obra de Irán.

En 2016, Shamoon reapareció en una campaña que afectó a varias organizaciones en Arabia Saudita, incluidas varias agencias gubernamentales. Tres años después, los investigadores descubrieron un nuevo limpiaparabrisas iraní llamado ZeroCleare.

Apostel no es el primer limpiaparabrisas disfrazado de ransomware. NotPetya, el gusano que causó daños por miles de millones de dólares en todo el mundo, también se disfrazó de ransomware hasta que los investigadores descubrieron que fue creado por piratas informáticos respaldados por el gobierno ruso para desestabilizar Ucrania.

Juan Andrés Guerrero-Saade, investigador principal de amenazas de SentinelOne, dijo en una entrevista que el malware como Apostle ilustra la interacción entre los ciberdelincuentes motivados financieramente y los piratas informáticos de los estados nacionales.

«El ecosistema de amenazas está evolucionando y los atacantes están desarrollando diferentes técnicas para lograr sus objetivos», dijo. “Vemos que los ciberdelincuentes aprenden de los grupos de estados-nación con mejores recursos. Del mismo modo, los grupos nacionales-estatales piden préstamos a bandas criminales y enmascaran sus ataques disruptivos bajo la apariencia de ransomware, sin indicar si las víctimas realmente recuperarán sus archivos a cambio de un rescate. «

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *