Se ha detectado en el entorno un nuevo tipo de malware destructivo llamado AcidPour, dirigido a dispositivos de red y Linux x86 IoT.
Es un tipo de malware categorizado como «borradores de datos», diseñados para realizar ataques que eliminan archivos y datos en dispositivos específicos. Se utilizan con frecuencia para interrumpir las operaciones de una organización o a modo de distracción durante un ataque más amplio.
Tom Hegel (Investigador de SentinelLabs):
«AcidPour» es como una variante del malware borrador de datos «AcidRain», el cual fue utilizado en un ataque contra el proveedor de comunicaciones por satélite Viasat, y que afectó la disponibilidad del servicio en Europa.
AcidPour fue cargado desde Ucrania el 16 de marzo de 2024. Además, comparte similitudes con AcidRain en cuanto a sus objetivos y rutas de archivos específicas en sistemas Linux integrados. Sin embargo, su base de código tiene aproximadamente un 30% de superposición, lo que sugiere una evolución significativa o un origen diferente.
AcidPour también utiliza una lógica de borrado basada en IOCTL similar a la de AcidRain y VPNFilter, lo que indica una continuación de técnicas maliciosas previamente documentadas. Incluye referencias a dispositivos de almacenamiento específicos, como ‘/dev/ubiXX’ y ‘/dev/dm-XX’, que sugieren un enfoque en sistemas embebidos y dispositivos de almacenamiento conectados a la red.
El analista de SentinelLabs ha compartido públicamente el hash del malware y ha pedido a la comunidad de investigación de seguridad que participe en el análisis.
El director de ciberseguridad de la NSA, Rob Joyce sostiene que esta nueva variante podría ser más poderosa que su predecesora y afectar a una gama más amplia de dispositivos y sistemas operativos.
Fuente:
Ciberprisma - alianza por la ciberseguridad 