Inicio NOTICIAS Se encontró que el nuevo malware AcidRain está conectado al ataque de...

Se encontró que el nuevo malware AcidRain está conectado al ataque de Viasat: Sentinel Labs

55
0

Los módems del proveedor estadounidense de comunicaciones por satélite Viasat fueron destruidos en Ucrania el 24 de febrero, lo que afectó a miles de personas en Ucrania y Europa. Ahora se ha informado que el proveedor fue atacado por una variedad recientemente descubierta de malware de limpieza de datos que se originó en Rusia, según investigadores de Sentinel Labs. Se cree que este ataque es la séptima variante del malware de limpieza para apuntar a Ucrania desde el inicio de la invasión de Rusia.

Los investigadores llamaron al malware «AcidRain» e insinuaron que tiene posibles vínculos con el gobierno ruso. Según los investigadores, los piratas informáticos obtuvieron acceso ilegal al servicio de banda ancha satelital KA-SAT y luego eliminaron los módems SATCOM.

Mientras investigaban el ataque cibernético, los investigadores de Sentinel Labs el 15 de marzo encontraron una carga sospechosa. Este archivo fue nombrado como ‘ukrop’. Los investigadores Guerrero-Saade y Van Amerongen dijeron que AcidRain es un archivo ejecutable para MIPS, la arquitectura de hardware para los módems utilizados por los clientes de Viasat. El malware se subió a VirusTotal desde Italia con el nombre “ukrop”.

«Las posibles interpretaciones incluyen una abreviatura de «operación» ucraniana, el acrónimo de la Asociación Ucraniana de Patriotas o un insulto étnico ruso para los ucranianos: ‘Укроп'», dijeron los investigadores de Sentinel Labs. Estos hallazgos llevaron a los investigadores a concluir que los ataques se originaron en Rusia.

Leer:  Según los informes, otro OnePlus Nord 2 explota

Viasat ha confirmado la hipótesis de Sentinel Labs. En una declaración a Bleeping Computer, la compañía dijo que el malware que destruye datos se implementó en módems usando comandos de «gestión legítima».

«El análisis en el informe de SentinelLabs con respecto al binario ukrop es consistente con los hechos en nuestro informe», dijo un portavoz de Viasat.

Los investigadores describen la funcionalidad del malware como «genérica». Al igual que cualquier otro malware de limpieza de datos, infecta el sistema y varios dispositivos de almacenamiento, destruyendo todo su contenido y datos. Una vez que la limpieza es exitosa, el malware hace que el arranque (inicio del sistema) no funcione.

Realiza un borrado en profundidad del sistema de archivos y varios archivos de dispositivos de almacenamiento conocidos antes de destruir todos los datos. Una vez que se completan los procesos de limpieza, el dispositivo se reinicia y, en última instancia, se vuelve inoperable.

“La funcionalidad de AcidRain es relativamente sencilla y requiere un intento de fuerza bruta que posiblemente signifique que los atacantes no estaban familiarizados con los detalles del firmware de destino o querían que la herramienta siguiera siendo genérica y reutilizable”, dijeron los investigadores.

Leer:  Miedo y calma entre los ucranianos ante la entrada de las tropas rusas

Los investigadores también notaron que el malware AcidRain es bastante similar a VPNFilter, una pieza de malware que infectó a más de 500,000 módems domésticos y de pequeñas oficinas en los EE. UU. En 2018, el FBI atribuyó el malware del módem a los actores de amenazas estatales rusos «Fancy Bear» o al grupo de piratería APT28. Más recientemente, la NSA y CISA lo vincularon con Sandworm, que ha sido acusado de apuntar a cientos de empresas y hospitales en todo el mundo y también de estar involucrado en ataques cibernéticos que derribaron parte de la red eléctrica de Ucrania.

Mientras tanto, los investigadores no están seguros de si los ataques de AcidRain y VPNFilter pueden vincularse al mismo grupo de hackers. Los investigadores señalaron: «una evaluación de confianza media de las similitudes de desarrollo no triviales entre sus componentes».

Según Techcrunch, CISA y el FBI han advertido que los satélites estadounidenses podrían ser el próximo objetivo. El mes pasado, los investigadores descubrió otras variantes del malware ‘limpiador de datos’ que atacan los sistemas ucranianos. Esto incluye WhisperGate, Limpiaparabrisas hermético, isaacwiperMicroBackdoor y limpiaparabrisas programa malicioso

Artículo anteriorLoki es el programa MCU más visto en Disney+ con 5230 millones de minutos de tiempo de visualización, aquí es donde se encuentran WandaVision y Hawkeye
Artículo siguienteRevisión del Samsung Galaxy F23 5G: ¿lo suficientemente bueno como para sobresalir en este segmento?