AcidRain Malware

Outro malware de limpeza de dados aproveitado em ataques contra alvos ucranianos foi descoberto pelos pesquisadores de segurança cibernética. Chamada de AcidRain, a ameaça foi implantada como parte de um ataque prejudicial, destinado a interromper os modems de gerenciamento de satélite. O ataque ocorreu em 24 de fevereiro de 2022 e teve como alvo o serviço de banda larga via satélite KA-SAT, limpando os dados dos modems SATCOM e tornando-os inutilizáveis.

A ameaça de malware foi projetada para forçar sua entrada nos dispositivos e, em seguida, limpar todos os arquivos encontrados nos sistemas violados. Uma vez implantado, o AcidRain percorre todo o sistema de arquivos do modem infectado. Além disso, ele pode limpar memórias flash, cartões SD/MMC e qualquer dispositivo de bloco virtual. Ele tenta atingir seus objetivos nefastos usando todos os dispositivos possíveis que identifica. Os arquivos detectados são destruídos tendo seu conteúdo até 0x40000 bytes de dados sobrescritos. AcidRain também utiliza as chamadas de sistema IOCTL (controle de entrada/saída) MEMGETINFO, MEMUNLOCK, MEMERASE e MEMWRITEOOB. Depois de limpar os arquivos, o malware reiniciará o dispositivo, deixando-o em um estado inutilizável.

Os pesquisadores que descobriram e analisaram as operações ameaçadoras descreveram-no como um ataque à cadeia de suprimentos que forneceu um limpador projetado especificamente para limpar modems e roteadores. No entanto, a Viasat, fabricante dos dispositivos visados, contestou essa conclusão, afirmando que não encontrou evidências de interferência na cadeia de suprimentos. A empresa ainda reconheceu que o executável destrutivo do malware AcidRain foi implantado nos dispositivos usando um comando de gerenciamento legítimo.