Cybersicherheitsforscher des Microsoft Threat Intelligence Center (MSTIC) haben festgestellt, dass Unternehmen in der ganzen Ukraine und in Polen von zwei separaten Angriffen getroffen wurden: Bei dem einen wurde ein Festplatten-Wischer namens HermeticWiper eingesetzt, während bei dem anderen eine Ransomware namens Prestige eingesetzt wurde.
„Trotz der Verwendung ähnlicher Bereitstellungstechniken ist die [Prestige] Kampagne unterscheidet sich von den jüngsten destruktiven Angriffen […] Foxblade (HermeticWiper), die sich in den letzten zwei Wochen auf mehrere Organisationen mit kritischer Infrastruktur in der Ukraine ausgewirkt haben“, erklärten die Forscher.
„MSTIC hat diese Ransomware noch nicht verlinkt (öffnet in neuem Tab) Kampagne an eine bekannte Bedrohungsgruppe und setzt die Ermittlungen fort.”
Links nach Russland
In einigen Fällen überschneiden sich die Opferunternehmen, aber die Forscher von Microsoft sind noch nicht überzeugt, dass all dies das Werk desselben Bedrohungsakteurs ist.
Derzeit verfolgt Microsoft die Gruppe(n) als DEV-0960, die übliche Bezeichnung für Bedrohungsakteure, deren Identität noch offengelegt wurde.
Es gibt jedoch tangentiale Beweise dafür, dass die Angreifer Verbindungen zum Kreml haben, da HermeticWiper erstmals einen Tag vor der Invasion der Ukraine und gegen ukrainische Einheiten in freier Wildbahn beobachtet wurde.
Wie es den Angreifern gelungen ist, die Zielnetzwerke zu kompromittieren und ob Schadsoftware enthalten war, wissen die Forscher nicht genau. Was sie wissen, ist, dass sie zwei Remote-Ausführungstools (RemoteExec und Impacket WMIexec) verwendet haben, um die kompromittierten Endpunkte zu kontrollieren.
„Die Bedrohungslandschaft in der Ukraine entwickelt sich weiter, und Wiper und zerstörerische Angriffe waren ein beständiges Thema“, sagte Microsoft weiter. „Ransomware- und Wiper-Angriffe sind auf viele der gleichen Sicherheitslücken angewiesen, um erfolgreich zu sein.“
Endpoint-Sicherheitslösungen und Ransomware-Schutzsoftware können einige Schadensbegrenzungen gegen diese neue Bedrohung bieten.
Über: Das Register (öffnet in neuem Tab)