# AcidPour > Tipo: **malware** · S1167 · [MITRE ATT&CK](https://attack.mitre.org/software/S1167) ## Descrição [[s1167-acidpour|AcidPour]] é uma variante evoluída do [[s1125-acidrain|AcidRain]] projetada para impactar uma gama mais ampla de dispositivos Linux com arquitetura x86. Trata-se de um wiper destrutivo compilado como binário ELF x86 que expande os alvos do AcidRain original ao incluir suporte a Unsorted Block Image (UBI), Device Mapper (DM) e memória flash. Essa abrangência permite ao AcidPour destruir dados em dispositivos IoT, equipamentos de rede, sistemas embarcados de ICS e até servidores Linux de propósito geral, tornando-o significativamente mais versátil que seu predecessor. Operacionalmente, o AcidPour sobrescreve conteúdo de dispositivos de armazenamento identificados, apaga arquivos e force o sistema a reiniciar ([[t1529-system-shutdownreboot|T1529]]) após a destruição dos dados. O wiper realiza descoberta de dispositivos periféricos ([[t1120-peripheral-device-discovery|T1120]]) e de informações do sistema ([[t1082-system-information-discovery|T1082]]) para mapear todos os alvos de escrita disponíveis. A lógica de enumeração de arquivos ([[t1083-file-and-directory-discovery|T1083]]) garante cobertura máxima antes de iniciar a fase destrutiva com exclusão ([[t1070-004-file-deletion|T1070.004]]) e destruição de dados ([[t1485-data-destruction|T1485]]). O [[g0034-sandworm|Sandworm Team]], grupo APT atribuído ao GRU russo (Unidade 74455), utilizou o AcidPour em ataques contra provedores de internet (ISPs) ucranianos em 2023, ampliando o impacto do [[s1125-acidrain|AcidRain]] implantado no início da invasão de 2022. Pesquisadores da SentinelOne foram os primeiros a documentar o AcidPour, estabelecendo sua relação com o AcidRain e a atribuição ao Sandworm com base em análise de código e táticas compartilhadas. **Plataformas:** Linux ## Técnicas Utilizadas - [[t1529-system-shutdownreboot|T1529 - System Shutdown/Reboot]] - [[t1120-peripheral-device-discovery|T1120 - Peripheral Device Discovery]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1561-001-disk-content-wipe|T1561.001 - Disk Content Wipe]] - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] - [[t1070-004-file-deletion|T1070.004 - File Deletion]] - [[t1485-data-destruction|T1485 - Data Destruction]] ## Grupos que Usam - [[g0034-sandworm|Sandworm Team]] ## Detecção - **Monitoramento de acesso a dispositivos de bloco**: alertar sobre processos que abrem `/dev/sd*`, `/dev/mmcblk*`, `/dev/ubi*` ou `/dev/dm-*` com permissões de escrita fora de contexto de backup ou manutenção legítimos. - **Auditd (Linux Audit Framework)**: regras de auditoria para syscalls `open()` e `write()` em caminhos de dispositivos de armazenamento por processos não privilegiados são indicadores críticos de wipers. - **EDR telemetria Linux**: detectar execução de binários ELF com comportamento de iteração em `/proc/` combinada com escrita massiva em múltiplos caminhos de dispositivo em curto intervalo de tempo. - **Referência Sigma**: `lnx_susp_dd_usage.yml` e regras de detecção de wiper para Linux são referências úteis; adaptar para monitorar escritas diretas em dispositivos. ## Relevância LATAM/Brasil O AcidPour é exclusivamente associado a operações de sabotagem cibernética do [[g0034-sandworm|Sandworm Team]] contra infraestrutura ucraniana no contexto do conflito russo-ucraniano. Não há registros de uso deste wiper contra alvos na América Latina ou no Brasil. Entretanto, a técnica de wiping de dispositivos de rede e IoT representa uma ameaça crescente para infraestruturas críticas globalmente, incluindo provedores de telecomúnicações e utilities brasileiros que operam equipamentos Linux embarcados vulneráveis a este tipo de ataque. ## Referências - [MITRE ATT&CK - S1167](https://attack.mitre.org/software/S1167)