Malware destruidor de dados foi usado em golpe contra operadora na Ucrânia

Um malware destruidor de dados foi utilizado em ataques contra a infraestrutura de comunicação da Ucrânia no primeiro dia de invasão pela Rússia, atingindo modems e sistemas de internet via satélite, chegando a afetar redes no país invadido e também no restante da Europa. O alvo foram os equipamentos da Viasat, cujos dispositivos foram atingidos por um vírus destruidor de dados.

• Ataques digitais contra Ucrânia começaram 10 dias antes da invasão pela Rússia
• Ucrânia viu ciberataques triplicarem após invasão pela Rússia

O relatório da SentinelOne revela a operação do AcidRain, mais um wiper que vem sendo utilizado como arma de guerra digital desde o final de fevereiro. A praga tem funcionamento semelhante ao de um ransomware, mas sem fins lucrativos; em vez de travar arquivos e sistemas em troca de resgate, o intuito é apagar as informações e tornar dispositivos inutilizáveis, gerando dano direto e mais rápido aos alvos. Desde o início dos conflitos, pelo menos seis ataques desse tipo foram registrados contra empresas, infraestrutura ou o governo ucranianos.

O AcidRain funciona fazendo uma varredura das plataformas em busca de arquivos, apagando tudo o que encontra pelo caminho em cartões de memória, sistemas, dispositivos virtuais e qualquer outro elemento conectado. De acordo com os pesquisadores da empresa de segurança, a falta de direcionamento também indica falta de familiaridade dos atacantes com o sistema atingido, ainda que o AcidRain também possua capacidades que permitam novas execuções ou a instalação de novas pragas.

Enquanto a primeira ocorrência conhecida foi registrada no dia 24 de fevereiro, quando começaram os ataques, uma amostra foi começar a ser analisada pelos especialistas apenas em 15 de março. Os registros também apontam para uma ferramenta maliciosa entregue de forma específica na rede de satélites, com o nome de arquivo “ukrop”, que pode ser uma corruptela de “Ukraine Operation”.

O ataque às redes foi confirmado pela Viasat, assim como o vetor, que de acordo com a empresa, foi um sistema de comando legítimo. A companhia descartou qualquer possibilidade de falha de segurança ou exploração maliciosa de seus sistemas, bem como alterações que possam levar a novos ataques contra a infraestrutura de comunicação, dando a entender se tratar, mesmo, de um agente interno ou de um comprometimento de conta com privilégios altos.

Por outro lado, a SentinelOne cogita a possibilidade de o ataque ter ocorrido contra a cadeia de suprimentos, com a praga atingindo não apenas os modems de satélite e controle como também clientes da empresa de telecomunicações. Apuração do site Bleeping Computer, por exemplo, aponta que a Viasat já teria substituído mais de 30 mil dispositivos de usuários desde fevereiro, após o golpe que deixou muitos dos dispositivos inutilizáveis.

A companhia não confirmou nem negou essa hipótese, apenas reforçando a ideia de que não houve comprometimento de seus sistemas e prometendo liberar mais informações forenses sobre o incidente assim que as investigações forem concluídas. Enquanto isso, a palavra oficial é que as redes seguem funcionando, com a conectividade reestabelecida após os golpes do final de fevereiro.

Fonte: Bleeping Computer