AcidRain Malware

Un altro malware per la pulizia dei dati sfruttato negli attacchi contro obiettivi ucraini è stato scoperto dai ricercatori di sicurezza informatica. Denominata AcidRain, la minaccia è stata implementata come parte di un attacco dannoso volto a interrompere i modem di gestione dei satelliti. L'attacco è avvenuto il 24 febbraio 2022 e ha preso di mira il servizio a banda larga satellitare KA-SAT cancellando i dati dei modem SATCOM e rendendoli inutilizzabili.

La minaccia malware è progettata per penetrare con la forza bruta nei dispositivi e quindi cancellare ogni singolo file che trova sui sistemi violati. Una volta distribuito, AcidRain attraversa l'intero filesystem del modem infetto. Inoltre, può cancellare memorie flash, schede SD/MMC e qualsiasi dispositivo a blocchi virtuali. Cerca di raggiungere i suoi nefasti obiettivi utilizzando tutti i possibili dispositivi che identifica. I file rilevati vengono distrutti sovrascrivendo il loro contenuto fino a 0x40000 byte di dati. AcidRain utilizza anche le chiamate di sistema IOCTL (controllo ingresso/uscita) MEMGETINFO, MEMUNLOCK, MEMERASE e MEMWRITEOOB. Dopo aver cancellato i file, il malware riavvierà il dispositivo, lasciandolo in uno stato inutilizzabile.

I ricercatori che hanno scoperto e analizzato le operazioni minacciose lo hanno descritto come un attacco alla catena di approvvigionamento che ha fornito un wiper progettato specificamente per cancellare modem e router. Tuttavia, Viasat, il produttore dei dispositivi presi di mira, ha respinto tale conclusione affermando di non aver trovato prove di interferenza nella catena di approvvigionamento. La società ha comunque riconosciuto che l'eseguibile distruttivo del malware AcidRain è stato distribuito sui dispositivi utilizzando un comando di gestione legittimo.