Se cree que el ciberataque dirigido a Viasat que desconect\u00f3 temporalmente los m\u00f3dems KA-SAT el 24 de febrero de 2022, el mismo d\u00eda que las fuerzas militares rusas invadieron Ucrania, fue consecuencia de un malware de limpieza, seg\u00fan el \u00faltimas investigaciones<\/a> de SentinelOne.<\/p>\n Los hallazgos se producen cuando la compa\u00f1\u00eda de telecomunicaciones de EE. UU. revel\u00f3 que fue el objetivo de un ataque cibern\u00e9tico multifac\u00e9tico y deliberado contra su red KA-SAT, vincul\u00e1ndolo a una “intrusi\u00f3n en la red basada en tierra por parte de un atacante que explota una configuraci\u00f3n incorrecta en un dispositivo VPN para obtener acceso remoto al segmento de gesti\u00f3n de confianza de la red KA-SAT”.<\/p>\n Al obtener acceso, el adversario emiti\u00f3 “comandos destructivos” en decenas de miles de m\u00f3dems pertenecientes al servicio de banda ancha satelital que “sobrescribieron datos clave en la memoria flash de los m\u00f3dems, lo que hizo que los m\u00f3dems no pudieran acceder a la red, pero no permanentemente inutilizables”.<\/p>\n Pero SentinelOne dijo que descubri\u00f3 una nueva pieza de malware el 15 de marzo que proyecta todo el incidente bajo una nueva luz: un compromiso de la cadena de suministro del mecanismo de gesti\u00f3n KA-SAT para entregar el limpiaparabrisas, denominado Lluvia \u00e1cida<\/strong>a los m\u00f3dems y enrutadores y lograr una interrupci\u00f3n escalable.<\/p>\n AcidRain est\u00e1 dise\u00f1ado como un ejecutable MIPS ELF de 32 bits que “realiza un borrado en profundidad del sistema de archivos y varios archivos de dispositivos de almacenamiento conocidos”, dijeron los investigadores Juan Andres Guerrero-Saade y Max van Amerongen. “Si el c\u00f3digo se ejecuta como ra\u00edz, AcidRain realiza una sobrescritura recursiva inicial y elimina los archivos no est\u00e1ndar en el sistema de archivos”.<\/p>\n Una vez que se completa el proceso de limpieza, el dispositivo se reinicia para dejarlo inoperable. Esto convierte a AcidRain en la s\u00e9ptima cepa de limpiaparabrisas descubierta desde principios de a\u00f1o en relaci\u00f3n con la guerra ruso-ucraniana despu\u00e9s de WhisperGate, SusurroMatar<\/a>HermeticWiper, IsaacWiper, CaddyWiper y DoubleZero.<\/p>\n Un an\u00e1lisis m\u00e1s detallado de la muestra del limpiador tambi\u00e9n ha descubierto una superposici\u00f3n de c\u00f3digo “interesante” con un complemento de tercera etapa (“dstr”) utilizado en ataques que involucran una familia de malware llamada VPNFilter, que se ha atribuido al grupo Russian Sandworm (tambi\u00e9n conocido como Voodoo Bear).<\/p>\n A fines de febrero de 2022, las agencias de inteligencia del Reino Unido y los EE. UU. revelaron un sucesor de VPNFilter, llamando al marco de reemplazo Cyclops Blink.<\/p>\n Dicho esto, a\u00fan no est\u00e1 claro c\u00f3mo los actores de amenazas obtuvieron acceso a la VPN. En una declaraci\u00f3n compartida con Ars Technica, Viasat confirmado<\/a> que el malware de destrucci\u00f3n de datos se implement\u00f3 en m\u00f3dems utilizando comandos de “gesti\u00f3n leg\u00edtima”, pero se abstuvo de compartir m\u00e1s detalles citando una investigaci\u00f3n en curso.<\/p>\n <\/p>\n<\/div>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/02\/Piratas-informaticos-iranies-utilizan-nuevo-malware-de-espionaje-que-abusa.png\")
<\/a><\/div>\n![\"\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/04\/1648824156_20_Es-probable-que-el-software-malicioso-ruso-Wiper-este-detras.jpg\")
<\/div>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/03\/1647430291_958_El-gobierno-aleman-advierte-contra-el-uso-del-software-antivirus.jpeg\")
<\/a><\/div>\n