Microsoft vincula al ejército ruso con ciberataques en Polonia y Ucrania

imágenes falsas

Microsoft señaló el jueves a la inteligencia militar rusa como el probable culpable de los ataques de ransomware contra empresas de transporte y logística de Polonia y Ucrania durante el último mes.

Si la evaluación de los miembros del Microsoft Security Threat Intelligence Center (MSTIC) es correcta, podría generar preocupación para el gobierno de EE. UU. y sus homólogos europeos. Polonia es miembro de la OTAN y un firme partidario del intento de Ucrania de repeler una invasión rusa no provocada. El grupo de hackers que vinculó a la compañía de software con los ataques cibernéticos, conocido más ampliamente como Sandworm y en Redmond, Washington, como Iridium, es uno de los más talentosos y destructivos del mundo y se cree que está respaldado por el GRU de Rusia, el ejército agencia de inteligencia

Sandworm definitivamente estuvo relacionado con los ataques de limpiaparabrisas de NotPetya de 2017, un brote global que la Casa Blanca estimó que causó $ 10 mil millones en daños, lo que lo convierte en el hackeo más costoso de la historia. Sandworm también estuvo definitivamente relacionado con los ataques en la red eléctrica de Ucrania, lo que provocó apagones generalizados durante los meses más fríos de 2016 y nuevamente en 2017.

Entrar en prestigio

El mes pasado, Microsoft dijo que las empresas de transporte y logística en Polonia y Ucrania fueron objeto de ataques cibernéticos utilizando ransomware nunca antes visto disfrazado de Prestige. Los actores de amenazas, según Microsoft, ya han obtenido el control de las redes de las víctimas. Luego, en una sola hora el 11 de octubre, los piratas informáticos usaron Prestige en todas sus víctimas.

Una vez instalado, el ransomware escanearía todos los archivos en el sistema de la computadora infectada y encriptaría el contenido de los archivos que terminan en .txt, .png, gpg y más de otras 200 extensiones. Luego, Prestige agregó la extensión .enc a la extensión existente del archivo. Microsoft atribuyó el ataque a un grupo de amenazas desconocido, al que llamaron DEV-0960.

El jueves, Microsoft actualizó el informe para decir que, basándose en artefactos forenses y superposiciones en victimología, artesanía, habilidades e infraestructura, los investigadores determinaron que es muy probable que DEV-0960 sea iridio.

“La campaña Prestige podría resaltar un cambio medido en el cálculo de Iridium para ataques destructivos y señalar un mayor riesgo para las organizaciones que entregan o transportan directamente asistencia humanitaria o militar a Ucrania”, escribieron los miembros de MSTIC. «En términos más generales, esto puede representar un mayor riesgo para las organizaciones en Europa del Este que el estado ruso puede considerar que brindan apoyo relacionado con la guerra».

La actualización del jueves establece además que la campaña Prestige difiere de los ataques destructivos de las últimas dos semanas, que han utilizado malware rastreado como AprilAxe (ArguePatch)/CaddyWiper o Foxblade (HermeticWiper) para apuntar a múltiples infraestructuras críticas en Ucrania. Si bien los investigadores dijeron que aún no saben qué grupo de amenazas está detrás de estos actos, ahora tienen suficiente evidencia para identificar a Iridium como el grupo detrás de los ataques Prestige. Microsoft está en proceso de notificar a los clientes que han sido «afectados por Iridium pero que aún no han comprado su libertad», escribieron.

Para enfatizar la sofisticación de los ataques, los miembros de Iridium utilizaron varios métodos para implementar Prestige en las redes de destino. Estos incluyeron:

Tareas de Windows programadas

prestige method01

microsoft

Comandos codificados de PowerShelly

prestige method02

microsoft

GPO para dominios predeterminados

prestige method03

microsoft

«La mayoría de los operadores de ransomware desarrollan un arte preferido para la implementación y ejecución de su carga útil, y ese arte tiende a ser consistente entre las víctimas a menos que una configuración de seguridad impida su método preferido», explicaron los miembros de MSTIC. «En esta actividad de Iridium, los métodos utilizados para enviar el ransomware a los entornos de las víctimas variaron, pero no parece deberse a configuraciones de seguridad que impidan que el atacante utilice las mismas técnicas. Esto es particularmente notable dado que todas las implementaciones de ransomware ocurrieron en una hora”.

La publicación contiene indicadores técnicos que pueden ayudar a las personas a saber si han sido atacadas.

DEJA UNA RESPUESTA

Por favor ingrese su comentario!
Por favor ingrese su nombre aquí