AcidRain Malware responsable del ataque a Viasat
Viasat confirmó que había localizado el malware responsable del ciberataque que derribó los servicios de la empresa en febrero. El malware utilizado se llama tentativamente AcidRain y tiene capacidades destructivas.
Viasat, un proveedor mundial de comunicaciones con sede en los EE. UU., sufrió interrupciones en el servicio en Ucrania y varios otros territorios europeos a fines de febrero de 2022. Ahora, los investigadores de SentinelLabs afirman que fue el malware AcidRain que se usó en el ataque lo que derribó la infraestructura de Viasat.
AcidRain utilizado en ataques anteriores
AcidRain es un binario de Linux diseñado para borrar equipos de red, incluidos módems y enrutadores. Los investigadores creen que fue el mismo malware que eliminó el hardware de Viasat a fines de febrero.
Según el equipo de SentinelLabs, existen ciertas similitudes entre AcidRain y un componente del malware VPNFilter. VPNFilter existe desde hace un tiempo, y el FBI instó a todos los usuarios de enrutadores, incluso a los que están en casa, a reiniciar sus enrutadores a mediados de 2018 para evitar posibles ataques de VPNFilter. VPNFilter se asoció entonces con el actor de amenazas respaldado por el estado ruso con el nombre de Fancy Bear o APT28.
Según la información publicada por la propia Viasat, el ataque que desconectó el servicio en febrero se centró en solo una parte de la red KA-SAT de la empresa que es administrada y operada por una subsidiaria.
El malware reescribe el firmware del enrutador
Cuando se trata de cómo AcidRain elimina el hardware, Viasat afirmó que el malware reescribe partes importantes de la memoria flash en los dispositivos, lo que hace imposible que un dispositivo infectado se comunique con la red. Sin embargo, el daño no es permanente y la actualización con el firmware de fábrica debería permitir que las unidades vuelvan a estar en orden.
Parece que el punto de entrada para el actor de amenazas en este ataque fue un punto VPN mal configurado. Esto permitió a los piratas informáticos acceder a los componentes de gestión de KA-SAT ubicados en la red.
ZDNet informó que Viasat confirmó que los datos internos de la compañía se alinean con los hallazgos del equipo de SentinelLabs, excepto por un punto: SentinelLabs cree que el ataque podría haberse basado en la cadena de suministro, mientras que Viasat afirma que ese no es el caso.
El malware AcidRain es el último de una serie de cargas útiles de malware destructivas desplegadas en el territorio de Ucrania desde el comienzo de la invasión rusa del país. Las cargas útiles anteriores no se centraban en los equipos de red, sino en el almacenamiento y la eliminación de datos.