Los investigadores dicen que han descubierto un malware de limpieza de disco nunca antes visto que se disfraza de ransomware mientras desencadena ataques destructivos contra objetivos israelíes.
Apostle, como los investigadores de la firma de seguridad SentinelOne llaman al malware, se implementó inicialmente en un intento de borrar los datos, pero no pudo hacerlo, probablemente debido a una falla lógica en su código. El nombre interno que le dieron sus desarrolladores fue “acción de limpiador”. En una versión posterior, se corrigió el error y el malware obtuvo comportamientos de ransomware en toda regla, incluido el dejar notas exigiendo a las víctimas que paguen un rescate a cambio de una clave de descifrado.
Una linea clara
en un publicación publicada el martes,
“El uso de ransomware como herramienta disruptiva suele ser difícil de probar, ya que es difícil determinar las intenciones de un actor de amenazas”, indicó el informe del martes. “El análisis del malware Apostle proporciona una visión poco común de ese tipo de ataques, trazando una línea clara entre lo que comenzó como un malware limpiador y un ransomware completamente operativo”.
Los investigadores han llamado Agrius al grupo de piratería recién descubierto. SentinelOne vio que el grupo utilizó por primera vez a Apostle como un limpiador de disco, aunque una falla en el malware le impidió hacerlo, probablemente debido a un error lógico en su código. Agrius luego recurrió a Deadwood, un limpiaparabrisas que ya se había usado contra un objetivo en Arabia Saudita en 2019.
Cuando Agrius lanzó una nueva versión de Apostle, era un ransomware completo.
“Creemos que la implementación de la funcionalidad de cifrado está ahí para enmascarar su intención real: destruir los datos de las víctimas”, afirmó la publicación del martes. “Esta tesis está respaldada por una versión anterior de Apostle que los atacantes denominaron internamente ‘acción de limpiaparabrisas'”.
Apostle tiene una superposición de código importante con una puerta trasera, llamada IPSec Helper, que Agrius también usa. IPSec Helper recibe una serie de comandos, como descargar y ejecutar un archivo ejecutable, que se emiten desde el servidor de control del atacante. Tanto Apostle como IPSec Helper están escritos en lenguaje .Net.
Agrius también usa webshells para que los atacantes puedan moverse lateralmente dentro de una red comprometida. Para ocultar sus direcciones IP, los miembros utilizan ProtonVPN.
Una afinidad por los limpiaparabrisas
Los piratas informáticos patrocinados por Irán ya tenían afinidad por los limpiadores de disco. En 2012, el malware de autorreplicación atravesó la red de Saudi Aramco, con sede en Arabia Saudita, el mayor exportador de crudo del mundo, y destruyó permanentemente los discos duros de más de 30.000 estaciones de trabajo. Más tarde, los investigadores identificaron al gusano limpiaparabrisas como Shamoon y dijeron que era obra de Irán.
En 2016, Shamoon reapareció en una campaña que golpeó a múltiples organizaciones en Arabia Saudita, incluidas varias agencias gubernamentales. Tres años después, los investigadores descubrieron un nuevo limpiaparabrisas iraní llamado ZeroCleare.
Apostle no es el primer limpiador que se disfraza de ransomware. NotPetya, el gusano que infligió miles de millones de dólares en daños en todo el mundo, también se hizo pasar por ransomware hasta que los investigadores determinaron que fue creado por piratas informáticos respaldados por el gobierno ruso para desestabilizar Ucrania.
El investigador principal de amenazas de SentinelOne, Juan Andrés Guerrero-Saade, dijo en una entrevista que el malware como Apostle ilustra la interacción que a menudo ocurre entre los ciberdelincuentes motivados financieramente y los piratas informáticos de los estados nacionales.
“El ecosistema de amenazas sigue evolucionando, y los atacantes desarrollan diferentes técnicas para lograr sus objetivos”, dijo. “Vemos que las bandas de ciberdelincuentes están aprendiendo de los grupos de estados-nación con mejores recursos. Del mismo modo, los grupos del estado-nación están tomando prestado de las bandas criminales, enmascarando sus ataques disruptivos bajo el disfraz de ransomware sin ninguna indicación de si las víctimas recuperarán sus archivos a cambio de un rescate “.