Se ha detectado una nueva variante de un malware de borrado de datos llamado AcidRain que está diseñado específicamente para apuntar a dispositivos Linux x86.
El malware, denominado AcidPour, está compilado para dispositivos Linux x86, dijo Juan Andrés Guerrero-Saade de SentinelOne en una serie de publicaciones en X.
«La nueva variante […] es un binario ELF compilado para x86 (no MIPS) y si bien se refiere a dispositivos/cadenas similares, es una base de código muy diferente», Guerrero-Saade anotado.
Lluvia ácida salió a la luz por primera vez en los primeros días de la guerra ruso-ucraniana, con el malware implementado contra los módems KA-SAT de la empresa de satélites estadounidense Viasat.
Un binario ELF compilado para arquitecturas MIPS es capaz de borrar el sistema de archivos y diferentes archivos de dispositivos de almacenamiento conocidos mediante la iteración recursiva sobre directorios comunes para la mayoría de las distribuciones de Linux.
El ciberataque fue posteriormente atribuido a Rusia por parte de las naciones de los Cinco Ojos, junto con Ucrania y la Unión Europea.
AcidPour, como se llama la nueva variante, está diseñado para borrar contenido de matrices RAID e imagen de bloque sin clasificar (RBU) sistemas de archivos mediante la adición de rutas de archivos como «/dev/dm-XX» y «/dev/ubiXX», respectivamente.
Actualmente no está claro quiénes son las víctimas previstas, aunque SentinelOne dijo que notificó a las agencias ucranianas. Actualmente se desconoce la magnitud exacta de los ataques.
El descubrimiento subraya una vez más el uso de malware limpiador para paralizar los objetivos, incluso cuando los actores de amenazas están diversificando sus métodos de ataque para lograr el máximo impacto.