Microsoft atribuyó el jueves la reciente ola de incidentes de ransomware dirigidos a los sectores de transporte y logística en Ucrania y Polonia a un grupo de amenazas que comparte superposiciones con el grupo Sandworm patrocinado por el estado ruso.
Los ataques, que fueron revelados por el gigante tecnológico el mes pasado, involucraron una variedad de malware previamente no documentado llamado Prestige y se dice que tuvo lugar dentro de una hora de diferencia entre todas las víctimas.
El Microsoft Threat Intelligence Center (MSTIC) ahora está rastreando al actor de amenazas bajo su apodo temático de elementos Iridium (de soltera DEV-0960), citando superposiciones con Sandworm (también conocido como Iron Viking, TeleBots y Voodoo Bear).
«Esta evaluación de atribución se basa en artefactos forenses, así como superposiciones en victimología, comercio, capacidades e infraestructura, con actividad Iridium conocida», MSTIC dijo en una actualización.
La compañía también evaluó que el grupo orquestó actividades comprometidas dirigidas a muchas de las víctimas de Prestige desde marzo de 2022, antes de culminar con el despliegue del ransomware el 11 de octubre.
El método de compromiso inicial aún se desconoce, aunque se sospecha que implicó obtener acceso a credenciales altamente privilegiadas necesarias para activar el killchain.
«La campaña Prestige puede resaltar un cambio medido en el cálculo de ataque destructivo de Iridium, lo que indica un mayor riesgo para las organizaciones que suministran o transportan directamente asistencia humanitaria o militar a Ucrania», dijo la compañía.
Los hallazgos llegan más de un mes después de que Recorded Future vinculara a otro grupo de actividad (UAC-0113) con vínculos con el actor de Sandworm por haber señalado a los usuarios ucranianos haciéndose pasar por proveedores de telecomunicaciones en el país para entregar puertas traseras en máquinas comprometidas.
Microsoft, en su Informe de defensa digital publicado la semana pasada, criticó además a Iridium por su patrón de apuntar a entidades de infraestructura crítica y tecnología operativa.
«Iridium implementó el malware Industroyer2 en un esfuerzo fallido por dejar a millones de personas en Ucrania sin electricidad», dijo Redmond, y agregó que el actor de amenazas usó «campañas de phishing para obtener acceso inicial a cuentas y redes deseadas en organizaciones dentro y fuera de Ucrania».
El desarrollo también llega en medio de ataques sostenidos de ransomware dirigidos a organizaciones industriales en todo el mundo durante el tercer trimestre de 2022, con Dragos informando 128 incidentes de este tipo durante el período de tiempo en comparación con 125 en el trimestre anterior.
«La familia de ransomware LockBit representa el 33 % y el 35 %, respectivamente, del total de incidentes de ransomware dirigidos a organizaciones e infraestructuras industriales en los últimos dos trimestres, ya que los grupos agregaron nuevas capacidades en su nueva cepa LockBit 3.0», dijo la empresa de seguridad industrial. dijo.
Otras cepas destacadas observadas en el tercer trimestre de 2022 incluyen Cl0pmedusalocker, EspartaBianLian, donasOnyx, REvil y Yanluowang.