Los investigadores dicen que han descubierto un malware de limpieza de disco nunca antes visto que se disfraza de ransomware mientras desencadena ataques destructivos contra objetivos israelíes.
Apóstol, como los investigadores de la firma de seguridad SentinelOne llaman al malware, se implementó inicialmente en un intento de borrar los datos, pero no lo hizo, probablemente debido a una falla lógica en su código. El nombre interno que le dieron sus desarrolladores fue «wiper-action». En una versión posterior, se solucionó el error y el malware adquirió comportamientos de ransomware completos, incluida la capacidad de dejar notas que exigían que las víctimas pagaran un rescate a cambio de una clave de descifrado.
una línea clara
En una publicación publicada el martes, los investigadores de SentinelOne dijeron que evaluaron con gran confianza que, según el código y los servidores a los que informó Apostle, el malware estaba siendo utilizado por un grupo recién descubierto con vínculos con el gobierno iraní. Si bien una nota de ransomware que los investigadores recuperaron sugería que se había utilizado Apostol contra una instalación crítica en los Emiratos Árabes Unidos, el objetivo principal era Israel.
“El uso de ransomware como una herramienta disruptiva suele ser difícil de probar, ya que es difícil determinar las intenciones de un actor de amenazas”, indicó el informe del martes. “El análisis del malware Apostle proporciona una visión poco común de ese tipo de ataques, trazando una línea clara entre lo que comenzó como un malware de limpieza y un ransomware completamente operativo”.
Los investigadores han apodado al nuevo grupo de hackers Agrius. SentinelOne vio que el grupo utilizó por primera vez a Apostle como un limpiador de disco, aunque una falla en el malware le impidió hacerlo, muy probablemente debido a un error lógico en su código. Agrius luego recurrió a Deadwood, un limpiaparabrisas que ya se había utilizado contra un objetivo en Arabia Saudita en 2023.
La nueva versión de Agrius de Apostle es un ransomware completo.
“Creemos que la implementación de la funcionalidad de cifrado está ahí para enmascarar su intención real: destruir los datos de las víctimas”, decía la publicación del martes. «Esta tesis está respaldada por una versión anterior de Apóstol que los atacantes denominaron internamente ‘acción de limpiaparabrisas'».
El código de Apostle tiene una gran superposición de código con una puerta trasera, llamada IPSec Helper, que también usa Agrius. IPSec Helper recibe una gran cantidad de comandos, como descargar y ejecutar un archivo ejecutable, que se emiten desde el servidor de control del atacante. Tanto el Apóstol como el Ayudante de IPSec están escritos en lenguaje .Net.
Agrius también usa webshells para que los atacantes puedan moverse lateralmente dentro de una red comprometida. Para ocultar sus direcciones IP, los miembros usan ProtonVPN.
Una afinidad por los limpiaparabrisas
Los piratas informáticos patrocinados por Irán ya tenían afinidad por los limpiadores de disco. En 2012, el malware autorreplicante atravesó la red de Saudi Aramco, con sede en Arabia Saudita, el exportador de crudo más grande del mundo, y destruyó permanentemente los discos duros de más de 30,000 estaciones de trabajo. Posteriormente, los investigadores identificaron al gusano limpiaparabrisas como Shamoon y dijeron que era obra de Irán.
En 2023, Shamoon reapareció en una campaña que afectó a múltiples organizaciones en Arabia Saudita, incluidas varias agencias gubernamentales. Tres años más tarde, los investigadores descubrieron un nuevo limpiaparabrisas iraní llamado ZeroClare.
Apóstol no es el primer limpiaparabrisas disfrazado de ransomware. NotPetya, el gusano que infligió miles de millones de dólares en daños en todo el mundo, también se disfrazó de ransomware hasta que los investigadores determinaron que fue creado por piratas informáticos respaldados por el gobierno ruso para desestabilizar Ucrania.
El investigador principal de amenazas de SentinelOne, Juan Andrés Guerrero-Saade, dijo en una entrevista que el malware como Apostle ilustra la interacción que a menudo ocurre entre los ciberdelincuentes con motivaciones financieras y los piratas informáticos del estado-nación.
“El ecosistema de amenazas sigue evolucionando, y los atacantes desarrollan diferentes técnicas para lograr sus objetivos”, dijo. “Vemos bandas de ciberdelincuentes aprendiendo de los grupos de estados-nación con mejores recursos. Del mismo modo, los grupos de estados-nación están tomando prestado de las bandas criminales, enmascarando sus ataques disruptivos bajo la apariencia de ransomware sin indicar si las víctimas realmente recuperarán sus archivos a cambio de un rescate”.
