Los investigadores de seguridad cibernética del Microsoft Threat Intelligence Center (MSTIC) han observado que empresas de Ucrania y Polonia se vieron afectadas por dos ataques separados: en uno, se implementó un limpiador de disco llamado HermeticWiper, mientras que en el otro, se implementó un ransomware llamado Prestige.
«A pesar de utilizar técnicas de despliegue similares, el [Prestige] campaña es distinta de los ataques destructivos recientes que aprovechan […] Foxblade (HermeticWiper) que han impactado en múltiples organizaciones de infraestructura crítica en Ucrania durante las últimas dos semanas», explicaron los investigadores.
«MSTIC aún no ha vinculado este ransomware (se abre en una pestaña nueva) campaña a un grupo de amenaza conocido y continúa con las investigaciones».
Enlaces a Rusia
En algunos casos, las empresas víctimas se superponen, pero los investigadores de Microsoft aún no están convencidos de que todo esto sea obra del mismo actor de amenazas.
Por el momento, Microsoft está rastreando a los grupos como DEV-0960, la etiqueta habitual para los actores de amenazas cuyas identidades aún no han sido reveladas.
Sin embargo, hay evidencia tangencial de que los atacantes tienen conexiones con el Kremlin, ya que HermeticWiper se observó por primera vez en la naturaleza un día antes de la invasión de Ucrania y contra entidades ucranianas.
Los investigadores realmente no saben cómo los atacantes lograron comprometer las redes de destino y si se incluyó o no algún malware. Lo que sí saben es que utilizaron dos herramientas de ejecución remota (RemoteExec e Impacket WMIexec) para controlar los puntos finales comprometidos.
“El panorama de amenazas en Ucrania continúa evolucionando, y los ataques de limpieza y destructivos han sido un tema constante”, dijo Microsoft. «Los ataques de ransomware y limpiaparabrisas se basan en muchas de las mismas debilidades de seguridad para tener éxito».
Las soluciones de seguridad de punto final y el software de protección contra ransomware pueden proporcionar algunas limitaciones de daños contra esta nueva amenaza.
Vía: El Registro (se abre en una pestaña nueva)