atacuri cibernetice

Microsoft a indicat armata rusă drept vinovatul probabil din spatele atacurilor ransomware de luna trecută care au vizat organizațiile de transport și logistică din Polonia și Ucraina.

Dacă evaluarea de către membrii Microsoft Security Threat Intelligence Center (MSTIC) este corectă, acesta ar putea fi un motiv de îngrijorare pentru guvernul SUA și omologii săi europeni. 

Polonia este membră a NATO și un susținător ferm al Ucrainei în încercarea sa de a împiedica o invazie rusă neprovocată. Grupul de hacking pe care compania de software l-a legat de atacurile cibernetice – cunoscut sub numele de Sandworm în cercurile mai largi de cercetare și Iridium în Redmond, Washington – este unul dintre cele mai talentate și mai distructive din lume și se crede că este susținut de agenția rusă de informații militare GRU.

Sandworm a fost legat în mod definitiv de atacurile cu NotPetya din 2017, un focar global despre care o evaluare a Casei Albe a declarat că a cauzat daune de 10 miliarde de dolari, făcându-l cel mai costisitor hack din istorie. Sandworm a fost, de asemenea, legat definitiv de hack-uri la rețeaua electrică a Ucrainei, care au provocat întreruperi pe scară largă în lunile cele mai reci din 2016 și din nou în 2017.

Luna trecută, Microsoft a declarat că organizațiile de transport și logistică din Polonia și Ucraina au fost ținta unor atacuri cibernetice care au folosit un ransomware nemaivăzut până acum, care s-a anunțat ca Prestige. Actorii amenințărilor, a spus Microsoft, au câștigat deja controlul asupra rețelelor victime. Apoi, într-o singură oră, pe 11 octombrie, hackerii au implementat Prestige peste toate victimele sale.

Odată instalat, ransomware-ul a traversat toate fișierele de pe sistemul computerului infectat și a criptat conținutul fișierelor care se terminau în .txt, .png, gpg și peste 200 de alte extensii. Prestige a adăugat apoi extensia .enc la extensia existentă a fișierului. Microsoft a atribuit atacul unui grup de amenințări necunoscut pe care l-a numit DEV-0960.


Joi, Microsoft a actualizat raportul pentru a spune că, pe baza artefactelor criminalistice și a suprapunerilor în victimologie, artizanat, capabilități și infrastructură, cercetătorii au stabilit că DEV-0960 este foarte probabil Iridium.

„Campania Prestige poate evidenția o schimbare măsurată a calculului atacului distructiv al lui Iridium, semnalând un risc crescut pentru organizațiile care furnizează sau transportă direct asistență umanitară sau militară în Ucraina”, au scris membrii MSTIC. „În mod mai larg, poate reprezenta un risc crescut pentru organizațiile din Europa de Est care pot fi considerate de statul rus că oferă sprijin în legătură cu războiul.”

Actualizarea de joi a continuat spunând că campania Prestige este diferită de atacurile distructive din ultimele două săptămâni care au folosit programe malware urmărite ca AprilAxe (ArguePatch)/CaddyWiper sau Foxblade (HermeticWiper) pentru a viza mai multe infrastructuri critice din Ucraina. Deși cercetătorii au spus că încă nu știu ce grup de amenințare se află în spatele acestor acte, acum au suficiente dovezi pentru a-l identifica pe Iridium ca grup din spatele atacurilor Prestige. Microsoft este în proces de a notifica clienții care au fost „impactați de Iridium, dar care nu au prinit încă cereri de răscumpărare”, au scris ei.