Microsoft, Ukrayna ve Polonya’daki Prestijli Fidye Yazılım Saldırılarından Rus Hackerları Suçladı


Microsoft Prestij Fidye Yazılımı

Microsoft Perşembe günü, Ukrayna ve Polonya’daki ulaşım ve lojistik sektörlerini hedef alan son fidye yazılımı olaylarını, Rus devlet destekli Sandworm grubuyla örtüşen bir tehdit kümesine bağladı.

Teknoloji devi tarafından geçen ay açıklanan saldırılar, Prestige adlı daha önce belgelenmemiş bir kötü amaçlı yazılım türünü içeriyordu ve tüm kurbanlar arasında bir saat arayla gerçekleştiği söyleniyor.

Microsoft Tehdit İstihbarat Merkezi (MSTIC) artık tehdit aktörünü element temalı takma adı Iridium (kızlık soyadı DEV-0960) altında izliyor ve Sandworm (diğer adıyla Iron Viking, TeleBots ve Voodoo Bear) ile örtüşmelere atıfta bulunuyor.

MSTIC bir güncellemede, “Bu ilişkilendirme değerlendirmesi, adli eserlere ve aynı zamanda mağduriyet, ticaret, yetenekler ve altyapıdaki örtüşmelere ve bilinen İridyum aktivitesine dayanmaktadır.” Dedi.

Şirket ayrıca grubun, 11 Ekim’de fidye yazılımının konuşlandırılmasıyla sonuçlanmadan önce, Mart 2022’ye kadar Prestij kurbanlarının çoğunu hedef alan bir uzlaşma faaliyeti düzenlediğini de değerlendirdi.

Killchain’i etkinleştirmek için gerekli olan yüksek ayrıcalıklı kimlik bilgilerine erişmeyi içerdiğinden şüphelenilse de, ilk uzlaşma yöntemi hala bilinmiyor.

Şirket, “Prestij kampanyası, Iridium’un yıkıcı saldırı hesabındaki ölçülü bir değişimi vurgulayabilir ve Ukrayna’ya doğrudan insani veya askeri yardım sağlayan veya taşıyan kuruluşlar için artan riskin sinyalini verebilir” dedi.

Bulgular, Kaydedilmiş Geleceğin başka bir faaliyet grubunu (UAC-0113) Sandworm aktörüyle bağları ile bağlamasından bir ay sonra geldi, çünkü Ukraynalı kullanıcıları, ülkedeki telekom sağlayıcıları gibi davranarak güvenliği ihlal edilmiş makinelere arka kapı teslim etmek için seçtiler.

Microsoft, geçen hafta yayınlanan Dijital Savunma Raporunda, kritik altyapı ve operasyonel teknoloji varlıklarını hedefleme modeli için Iridium’u daha da çağırdı.

Prestij Fidye Yazılım Saldırıları

Redmond, “Iridium, Industroyer2 kötü amaçlı yazılımını Ukrayna’da milyonlarca insanı elektriksiz bırakmak için başarısız bir çabayla yerleştirdi,” diyen Redmond, tehdit aktörünün “Ukrayna içindeki ve dışındaki kuruluşlarda istenen hesaplara ve ağlara ilk erişimi sağlamak için kimlik avı kampanyaları” kullandığını da sözlerine ekledi.

Gelişme, 2022’nin üçüncü çeyreğinde dünya çapındaki endüstriyel kuruluşlara yönelik sürekli fidye yazılımı saldırılarının ortasında geldi ve Dragos, bir önceki çeyrekte 125’e kıyasla bu tür olayları 128 rapor etti.

Siber güvenlik

Endüstriyel güvenlik firması, “LockBit fidye yazılımı ailesi, son iki çeyrekte endüstriyel kuruluşları ve altyapıları hedef alan toplam fidye yazılımı olaylarının sırasıyla %33’ünü ve %35’ini oluşturuyor, çünkü gruplar yeni LockBit 3.0 türlerine yeni yetenekler eklediler” dedi.

Q3 2022’de gözlemlenen diğer önemli suşlar arasında Cl0p, MedusaLocker, Sparta, BianLian, Donuts, Onyx, REvil ve Yanluowang yer alıyor.





Source link