Microsoft Tehdit İstihbarat Merkezi’nden (MSTIC) siber güvenlik araştırmacıları, Ukrayna ve Polonya’daki şirketlerin iki ayrı saldırıya maruz kaldığını kaydetti: birinde HermeticWiper adlı bir disk silecek, diğerinde Prestige adlı bir fidye yazılımı kullanıldı.
“Benzer dağıtım teknikleri kullanılmasına rağmen, [Prestige] kampanya, son zamanlardaki yıkıcı saldırılardan yararlanarak farklıdır. […] Araştırmacılar, son iki hafta içinde Ukrayna’da çok sayıda kritik altyapı kuruluşunu etkileyen Foxblade (HermeticWiper)” dedi.
“MSTIC henüz bu fidye yazılımını bağlamadı (yeni sekmede açılır) bilinen bir tehdit grubuna karşı kampanya yürütüyor ve soruşturmaları sürdürüyor.”
Rusya’ya bağlantılar
Bazı durumlarda, kurban şirketler çakışıyor, ancak Microsoft’un araştırmacıları, bunların hepsinin aynı tehdit aktörünün işi olduğuna henüz ikna olmuş değil.
Şu an için Microsoft, grupları DEV-0960 olarak takip ediyor, tehdit aktörleri için henüz kimlikleri açıklanmayan olağan etiket.
Yine de, HermeticWiper vahşi doğada Ukrayna’nın işgalinden bir gün önce ve – Ukraynalı varlıklara karşı gözlemlendiğinden, saldırganların Kremlin ile bağlantıları olduğuna dair somut kanıtlar var.
Araştırmacılar, saldırganların hedef ağları nasıl tehlikeye atmayı başardığını ve herhangi bir kötü amaçlı yazılımın dahil edilip edilmediğini gerçekten bilmiyorlar. Bildikleri şey, güvenliği ihlal edilmiş uç noktaları kontrol etmek için iki uzaktan yürütme aracı (RemoteExec ve Impacket WMIexec) kullandıklarıdır.
Microsoft ayrıca, “Ukrayna’daki tehdit ortamı gelişmeye devam ediyor ve siliciler ve yıkıcı saldırılar tutarlı bir tema oldu.” Dedi. “Fidye yazılımı ve silecek saldırıları, başarılı olmak için aynı güvenlik zayıflıklarının çoğuna güveniyor.”
Uç nokta güvenlik çözümleri ve fidye yazılımı koruma yazılımı, bu yeni tehdide karşı bazı hasar sınırlamaları sağlayabilir.
Aracılığıyla: Kayıt (yeni sekmede açılır)