AcidRain Malware

Investigadores de ciberseguridad han descubierto otro malware de limpieza de datos aprovechado en ataques contra objetivos ucranianos. Llamada AcidRain, la amenaza se implementó como parte de un ataque dañino destinado a interrumpir los módems de administración de satélites. El ataque tuvo lugar el 24 de febrero de 2022 y tuvo como objetivo el servicio de banda ancha satelital KA-SAT al borrar los datos de los módems SATCOM y dejarlos inutilizables.

La amenaza de malware está diseñada para abrirse paso por la fuerza bruta en los dispositivos y luego borrar todos los archivos que encuentra en los sistemas violados. Una vez implementado, AcidRain pasa por todo el sistema de archivos del módem infectado. Además, puede borrar memorias flash, tarjetas SD/MMC y cualquier dispositivo de bloque virtual. Intenta lograr sus nefastos objetivos utilizando todos los dispositivos posibles que identifica. Los archivos detectados se destruyen al sobrescribir su contenido hasta 0x40000 bytes de datos. AcidRain también utiliza el sistema IOCTL (control de entrada/salida) llamado MEMGETINFO, MEMUNLOCK, MEMERASE y MEMWRITEOOB. Después de borrar los archivos, el malware reiniciará el dispositivo, dejándolo en un estado inutilizable.

Los investigadores que descubrieron y analizaron las operaciones amenazantes lo describieron como un ataque a la cadena de suministro que entregó un limpiador diseñado específicamente para borrar módems y enrutadores. Sin embargo, Viasat, el fabricante de los dispositivos objetivo, rechazó esa conclusión al afirmar que no encontraron evidencia de interferencia en la cadena de suministro. La compañía aún reconoció que el ejecutable destructivo del malware AcidRain se implementó en los dispositivos mediante un comando de administración legítimo.