W czwartek Microsoft przypisał niedawną falę incydentów ransomware wymierzonych w sektory transportu i logistyki na Ukrainie i w Polsce, grupie Sandworm. Ataki, które zostały ujawnione przez giganta technologicznego w zeszłym miesiącu, dotyczyły wcześniej nieudokumentowanego złośliwego oprogramowania o nazwie Prestige i podobno miały miejsce w ciągu godziny od siebie u wszystkich ofiarach.
Microsoft Threat Intelligence Center (MSTIC) śledzi teraz cyberprzestępcę pod pseudonimem Iridium powiązanego z rosyjską grupą Sandworm (aka Iron Viking, TeleBots i Voodoo Bear). Firma oceniła również, że grupa zorganizowała działania na szkodę wielu ofiar "Prestige" już w marcu 2022 r., zanim zakończyło się wdrożenie oprogramowania ransomware 11 października. Metoda początkowej kompromitacji wciąż pozostaje nieznana, choć podejrzewa się, że polegała ona na uzyskaniu dostępu do wysoce uprzywilejowanych poświadczeń niezbędnych do aktywacji łańcucha złośliwego kodu.
„Kampania Prestige ma na celu i może być problemem dla organizacji bezpośrednio dostarczających lub transportujących pomoc humanitarną lub wojskową na Ukrainę” – powiedziała firma.
Odkrycia pojawiły się ponad miesiąc po tym, jak Recorded Future powiązało inną grupę z aktorem Sandworm, który wyróżniał ukraińskich użytkowników, podszywając się pod dostawców usług telekomunikacyjnych w kraju, aby dostarczać backdoory na zainfekowane maszyny. Microsoft w swoim raporcie Digital Defense Report opublikowanym w zeszłym tygodniu przyjął poczynania grupy za swój wzorzec atakowania infrastruktury krytycznej i jednostek technologii operacyjnej.
Zródło: https://thehackernews.com/2022/11/microsoft-blames-russian-hackers-for.html
Comments