\n<\/aside>\n<\/p>\n
Microsoft se\u00f1al\u00f3 el jueves al brazo de inteligencia militar de Rusia como el probable culpable de los ataques de ransomware del mes pasado que se dirigieron a las organizaciones de transporte y log\u00edstica de Polonia y Ucrania.<\/p>\n
Si la evaluaci\u00f3n de los miembros del Microsoft Security Threat Intelligence Center (MSTIC) es correcta, podr\u00eda ser motivo de preocupaci\u00f3n para el gobierno de EE. UU. y sus hom\u00f3logos europeos. Polonia es miembro de la OTAN y un firme partidario de Ucrania en su intento de evitar una invasi\u00f3n rusa no provocada. El grupo de hackers que la compa\u00f1\u00eda de software vincul\u00f3 con los ataques cibern\u00e9ticos, conocido como Sandworm en c\u00edrculos de investigaci\u00f3n m\u00e1s amplios e Iridium en Redmond, Washington, es uno de los m\u00e1s talentosos y destructivos del mundo y se cree que est\u00e1 respaldado por la agencia de inteligencia militar GRU de Rusia.<\/p>\n
Sandworm se ha relacionado definitivamente con los ataques de limpiaparabrisas NotPetya de 2017, un brote global que, seg\u00fan una evaluaci\u00f3n de la Casa Blanca, caus\u00f3 $ 10 mil millones en da\u00f1os, lo que lo convierte en el ataque m\u00e1s costoso de la historia. Sandworm tambi\u00e9n se ha relacionado definitivamente con los ataques a la red el\u00e9ctrica de Ucrania que causaron cortes generalizados durante los meses m\u00e1s fr\u00edos de 2016 y nuevamente en 2017.<\/p>\n
Ingrese Prestigio<\/h2>\n El mes pasado, Microsoft dijo que las organizaciones de transporte y log\u00edstica de Polonia y Ucrania hab\u00edan sido objeto de ataques cibern\u00e9ticos que usaban un ransomware nunca antes visto que se anunciaba como Prestige. Los actores de amenazas, dijo Microsoft, ya hab\u00edan obtenido el control de las redes de las v\u00edctimas. Luego, en una sola hora, el 11 de octubre, los piratas inform\u00e1ticos desplegaron Prestige entre todas sus v\u00edctimas.<\/p>\n
Una vez instalado, el ransomware atraves\u00f3 todos los archivos del sistema de la computadora infectada y cifr\u00f3 el contenido de los archivos que terminaban en .txt, .png, gpg y m\u00e1s de 200 extensiones m\u00e1s. Luego, Prestige agreg\u00f3 la extensi\u00f3n .enc a la extensi\u00f3n existente del archivo. Microsoft atribuy\u00f3 el ataque a un grupo de amenazas desconocido al que denomin\u00f3 DEV-0960.<\/p>\n
El jueves, Microsoft actualiz\u00f3 el informe para decir que, bas\u00e1ndose en artefactos forenses y superposiciones en victimolog\u00eda, oficio, capacidades e infraestructura, los investigadores determinaron que DEV-0960 era muy probable que fuera Iridium.<\/p>\n\n Anuncio publicitario <\/span> <\/p>\n<\/aside>\n\u201cLa campa\u00f1a Prestige puede resaltar un cambio medido en el c\u00e1lculo de ataque destructivo de Iridium, lo que indica un mayor riesgo para las organizaciones que suministran o transportan directamente asistencia humanitaria o militar a Ucrania\u201d, escribieron los miembros de MSTIC. \u201cEn t\u00e9rminos m\u00e1s generales, puede representar un mayor riesgo para las organizaciones en Europa del Este que el estado ruso puede considerar que brindan apoyo relacionado con la guerra\u201d.<\/p>\n
La actualizaci\u00f3n del jueves continu\u00f3 diciendo que la campa\u00f1a Prestige es distinta de los ataques destructivos de las \u00faltimas dos semanas que utilizaron malware rastreado como AprilAxe (ArguePatch)\/CaddyWiper o Foxblade (HermeticWiper) para apuntar a m\u00faltiples infraestructuras cr\u00edticas en Ucrania. Si bien los investigadores dijeron que a\u00fan no saben qu\u00e9 grupo de amenazas est\u00e1 detr\u00e1s de esos actos, ahora tienen suficiente evidencia para se\u00f1alar a Iridium como el grupo detr\u00e1s de los ataques Prestige. Microsoft est\u00e1 en proceso de notificar a los clientes que han sido \u00abimpactados por Iridium pero que a\u00fan no han sido rescatados\u00bb, escribieron.<\/p>\n
Subrayando la sofisticaci\u00f3n de los ataques, los miembros de Iridium utilizaron varios m\u00e9todos para implementar Prestige en las redes objetivo. Ellos incluyeron:<\/p>\n
Tareas programadas de Windows<\/b><\/p>\n\nmicrosoft<\/p>\n<\/figcaption><\/figure>\n
Comandos codificados de PowerShell<\/b>y<\/p>\n\nmicrosoft<\/p>\n<\/figcaption><\/figure>\n
Objetos de directiva de grupo de dominio predeterminados<\/b><\/p>\n\nmicrosoft<\/p>\n<\/figcaption><\/figure>\n
\u201cLa mayor\u00eda de los operadores de ransomware desarrollan un conjunto preferido de oficios para la implementaci\u00f3n y ejecuci\u00f3n de su carga \u00fatil, y este oficio tiende a ser consistente entre las v\u00edctimas, a menos que una configuraci\u00f3n de seguridad impida su m\u00e9todo preferido\u201d, explicaron los miembros de MSTIC. \u201cPara esta actividad de Iridium, los m\u00e9todos utilizados para implementar el ransomware variaron entre los entornos de las v\u00edctimas, pero no parece deberse a las configuraciones de seguridad que impiden que el atacante utilice las mismas t\u00e9cnicas. Esto es especialmente notable ya que todas las implementaciones de ransomware ocurrieron en una hora\u201d.<\/p>\n
La publicaci\u00f3n contiene indicadores t\u00e9cnicos que pueden ayudar a las personas a determinar si han sido atacadas.<\/p>\n<\/p><\/div>\n
Source link-49<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"im\u00e1genes falsas Microsoft se\u00f1al\u00f3 el jueves al brazo de inteligencia militar de Rusia como el probable culpable de los ataques de ransomware del mes pasado que se dirigieron a las…<\/p>\n","protected":false},"author":1,"featured_media":154160,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[21980],"tags":[1451,133,419,683,2314,630,16,4154],"_links":{"self":[{"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/posts\/290820"}],"collection":[{"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/comments?post=290820"}],"version-history":[{"count":1,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/posts\/290820\/revisions"}],"predecessor-version":[{"id":290821,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/posts\/290820\/revisions\/290821"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/media\/154160"}],"wp:attachment":[{"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/media?parent=290820"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/categories?post=290820"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/tags?post=290820"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}