A marzo 2024 è stata notata una nuova variante del malware wiper AcidRain denominato “AcidPour“. Questo colpisce i device di archiviazione dati Linux (Linux Data Storage) e cancella in modo permanente i dati dai sistemi, rendendoli inoperativi. Il malware prende di mira settori cruciali dei dispositivi Linux come SCSI SATA, Memory Technology Devices (MTD), MultiMediaCard Storage, DMSETUP e dispositivi Unsorted Block Image. In seguito sovrascrive i contenuti e rende praticamente impossibile il ripristino. Questo malware dannoso, che viene spesso utilizzato in attacchi informatici coordinati, può compromettere gravemente i dati di un’organizzazione o di un individuo.
AcidRain è un malware ELF che prende di mira modem e router basati su MIPS. È collegato all’interruzione delle comunicazioni ViaSat KA-SAT verificatasi durante le prime fasi dell’invasione su vasta scala dell’Ucraina nel 2022. A differenza di AcidRain, AcidPour ha una tecnica di evasione della difesa diversa. Infatti, sovrascrive se stesso con una sequenza generata di byte da 0 a 255 seguita da un messaggio della riga di comando “Ok”. Come dichiarato dal team di Splunk Threat Research, questa tecnica serve come evasione difensiva per analisti e ricercatori di malware. I ricercatori hanno notato un altro trucco interessante, ovvero utilizzare la funzione select() per mettere in stop il codice di AcidPour. L’opzione timeout, che indica la durata massima (in secondi) che select() deve attendere per gli eventi prima di tornare, può essere calcolata utilizzando due parametri alternativi da AcidPour.
AcidPour: malware cancella i dati sul sistema Linux vulnerabile
Il malware ha sistematicamente cancellato, sovrascritto e cancellato più directory come parte del suo payload distruttivo. Prende di mira principalmente cartelle importanti, come “/boot“, che sono necessarie per riavviare il sistema Linux compromesso. Il ripristino è quasi impossibile perché i file in queste directory prese di mira vengono sostituiti con 32 KB di byte generati casualmente. AcidPour prende di mira una gamma più ampia di percorsi di nodi di dispositivi per la cancellazione come /dev/sd*, /dev/mtd*, /dev/mtdblock*, /dev/block/mtdblock*, /dev/mmcblk*, /dev/block/mmcblk*, /dev/loop*, /dev/dm-* and /dev/Ubi*.
Il wiper sovrascrive ripetutamente e metodicamente i file sui percorsi dei dispositivi designati con buffer generati casualmente da 256 KB (0x40000). Per fare ciò utilizza la tecnica di sovrascrittura a blocchi di file. Il metodo alternativo di AcidPour è paragonabile a quello di AcidRain, che utilizza i comandi di controllo di input/output (IOCTL) del sistema per eseguire azioni dannose. Sebbene AcidPour (e AcidRain) e il modulo “dstr” di VPNFilter, hanno simili capacità di cancellazione dei file. Tuttavia, i ricercatori sottolineano che AcidPour è specificamente realizzato per distruggere o danneggiare host compromessi o reti di produzione. Dall’altro lato VPNFilter ha funzionalità extra per l’esfiltrazione dei dati e l’iniezione di codice.