Esta semana los investigadores de seguridad de SentinelLabs reportaron la detección de una muestra de malware de eliminación de archivos impactando enrutadores y otros dispositivos de Internet de las Cosas (IoT). Después de analizar los rastros dejados en esta campaña, los expertos concluyeron que esta operación podría estar vinculada al ciberataque contra Viasat, proveedor de servicios de telecomunicaciones satelitales.
Los investigadores Juan Andres Guerrero-Saade y Max van Amerongen, a cargo del reporte, creen que este wiper malware identificado como AcidRain, es parte de un ataque más grande y que tiene por objetivo el despliegue de severas interrupciones en los servicios de Internet satelital en Europa.
Hace unas semanas, Viasat confirmó que un ciberataque contra su red KA-SAT habría impactado en decenas de miles de módems en toda Europa, con los actores de amenazas sobrescribiendo la información en la memoria. Este ataque se produjo justo cuando Rusia comenzó la invasión militar en Ucrania, por lo que de inmediato comenzaron las especulaciones sobre la posible relación entre ambos incidentes.
Los investigadores compartieron algunas de sus conclusiones sobre los posibles vínculos entre el ataque a Viasat y la aparición de este wiper: “Creemos que el actor de amenazas usó el mecanismo de gestión KA-SAT en un ataque a la cadena de suministro para el despliegue del wiper, comprometiendo miles de módems y enrutadores”. Los expertos también cree que el wiper es capaz de eliminar todos los datos en la memoria de los dispositivos afectados, volviéndolos completamente inservibles.
En el reporte de SentinelLabs también se mencionan las múltiples similitudes entre esta campaña y los ataques del malware VPNFilter, presuntamente desplegados por un grupo de hacking auspiciado por el gobierno de Rusia: “Hemos determinado que existen similitudes de desarrollo entre AcidRain y un plugin destructivo de VPNFilter, atribuida al Kremlin”.
AcidRain es el séptimo wiper malware asociado con la invasión rusa de Ucrania. Esta variante de malware fue cargada en el servicio de escaneo VirusTotal, usando el nombre de ‘ukrop’: “Las funcionalidades de AcidRain son simples y requieren de un intento de fuerza bruta, lo que podría indicar que los actores de amenazas no estaban familiarizados con los detalles del firmware afectado o bien simplemente deseaban que la herramienta fuera genérica y reutilizable”, agrega el reporte.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de ciberseguridad, el se enfoca en protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad con diferentes empresas. También tiene experiencia en diferentes industrias como finanzas, salud medica y reconocimiento facial.