Una nueva campaña de ransomware se dirigió a los sectores de transporte y logística en Ucrania y Polonia el 11 de octubre con una carga útil previamente desconocida denominada Prestigio.
«La actividad comparte victimología con la actividad reciente alineada con el estado ruso, específicamente en las geografías y países afectados, y se superpone con las víctimas anteriores del malware FoxBlade (también conocido como HermeticWiper)», el Centro de Inteligencia de Amenazas de Microsoft (MSTIC) dijo.
El gigante tecnológico comentó que las intrusiones ocurrieron con una hora de diferencia entre todas las víctimas, atribuyendo las infecciones a un grupo sin nombre llamado DEV-0960. No reveló la escala de los ataques, pero afirmó que está notificando a todos los clientes afectados.
También se cree que la campaña es distinta de otros ataques destructivos recientes que involucraron el uso de HermeticWiper y CaddyWiper, el último de los cuales es lanzado por un cargador de malware llamado ArguePatch (también conocido como AprilAxe).
El método de acceso inicial sigue siendo desconocido, y Microsoft señaló que el actor de amenazas ya había obtenido acceso privilegiado al entorno comprometido para implementar el ransomware utilizando tres métodos diferentes.
En un desarrollo relacionado, Fortinet FortiGuard Labs reveló un cadena de ataque de varias etapas que aprovecha un documento de Microsoft Excel armado, que se hace pasar por una hoja de cálculo para generar salarios para el personal militar ucraniano para lanzar Cobalt Strike Beacon.
«El panorama de amenazas en Ucrania continúa evolucionando, y los ataques de limpieza y destructivos han sido un tema constante», señaló Redmond. «Los ataques de ransomware y limpiaparabrisas se basan en muchas de las mismas debilidades de seguridad para tener éxito».
Los hallazgos se producen en medio de una explosión de cepas de ransomware relativamente nuevas que han ido ganando terreno en el panorama de amenazas, incluido el de Bisamware, Casillero de Chile, Realy Cartel de rescateen los últimos meses.
Ransom Cartel, que apareció a mediados de diciembre de 2021, también se destaca por compartir superposiciones técnicas con REvil ransomware, que cerró en octubre de 2021 luego de un inmenso escrutinio policial en sus operaciones después de una serie de ataques de alto perfil en JBS y Kaseya.
Se sospecha que «los operadores de Ransom Cartel tenían acceso a versiones anteriores del código fuente del ransomware REvil», Palo Alto Networks Unit 42 observado el 14 de octubre, afirmando que «hubo una relación entre los grupos en algún momento, aunque puede que no haya sido reciente».
REvil, a principios de enero, sufrió un nuevo revés cuando las autoridades rusas arrestaron a varios miembros, pero hay indicios de que el notorio cartel del cibercrimen puede haber protagonizado un regreso de alguna forma.
La empresa de ciberseguridad Trellix, a finales de septiembre, también reveló cómo una «fuente interna descontenta» del grupo compartió detalles sobre las tácticas, técnicas y procedimientos (TTP) del adversario, brindando una visión crucial de las «relaciones y el funcionamiento interno de REvil y sus miembros».
No es solo REvil el que ha vuelto a estar en el radar del ransomware. HP Wolf Security la semana pasada dijo aisló un Campaña Magniber que se ha encontrado dirigido a usuarios domésticos de Windows con actualizaciones de seguridad falsas que emplean un archivo JavaScript para propagar el malware de cifrado de archivos.
«Los atacantes utilizaron técnicas inteligentes para evadir los mecanismos de protección y detección», señaló el analista de malware Patrick Schläpfer. «La mayor parte de la cadena de infección es ‘sin archivos’, lo que significa que el malware solo reside en la memoria, lo que reduce las posibilidades de que se detecte».