Serangkaian serangan yang menargetkan organisasi transportasi dan logistik di Ukraina dan Polandia dengan ransomware Prestige sejak Oktober telah dikaitkan dengan kelompok spionase militer elit Rusia.
Para peneliti dengan Microsoft Security Threat Intelligence (MSTIC) menyematkan serangan ransomware pada kelompok ancaman Sandworm Rusia berdasarkan artefak forensik dan viktimologi, tradecraft, kemampuan, dan infrastruktur yang tumpang tindih dengan aktivitas grup sebelumnya.
Para penyerang menyebarkan muatan ransomware di seluruh jaringan perusahaan korban mereka. Taktik ini jarang terlihat dalam serangan yang menargetkan organisasi Ukraina, dan ini cocok dengan aktivitas negara Rusia sebelumnya, seperti penggunaan penghapus kedap udara malware destruktif sebelum dimulainya invasi ke Ukraina.
“Pada November 2022, MSTIC menilai bahwa IRIDIUM kemungkinan besar mengeksekusi serangan gaya ransomware Prestige,” MSTIC dikatakan.
“Kampanye Prestige mungkin menyoroti perubahan terukur dalam perhitungan serangan destruktif IRIDIUM, menandakan peningkatan risiko bagi organisasi yang secara langsung memasok atau mengangkut bantuan kemanusiaan atau militer ke Ukraina.
“Lebih luas lagi, itu mungkin mewakili peningkatan risiko bagi organisasi di Eropa Timur yang mungkin dianggap oleh negara Rusia untuk memberikan dukungan terkait perang.”
Kecanggihan aktor ancaman disorot oleh penggunaan beberapa metode untuk penyebaran ransomware Prestige, termasuk penggunaan tugas terjadwal Windows, perintah PowerShell yang disandikan, dan Objek Kebijakan Grup Domain Default.
di dalamnya laporan sebelumnyaMicrosoft membagikan daftar indikator kompromi (IOC) dan kueri perburuan lanjutan untuk membantu admin bertahan dari serangan ransomware Prestige.
Peretas militer Rusia yang terkenal
cacing pasir (alias BlackEnergy, Voodoo Bear, TeleBots) adalah kelompok peretasan Rusia yang aktif setidaknya selama dua dekade sejak pertengahan 2000-an, dengan anggotanya diyakini sebagai bagian dari Unit 74455 dari Pusat Utama Teknologi Khusus GRU Rusia (GTsST).
Mereka telah dikaitkan dengan serangan yang mengarah ke pemadaman listrik Ukraina tahun 2015 dan 2016 [1, 2, 3] dan Serangan wiper KillDisk menargetkan bank Ukraina.
Kelompok ini juga diyakini memiliki menciptakan ransomware NotPetya yang menyebabkan miliaran kerusakan mulai Juni 2017.
Pada Oktober 2020, Departemen Kehakiman AS menagih enam dari operasi kelompok untuk operasi peretasan yang terkait dengan serangan ransomware NotPetya, Olimpiade Musim Dingin PyeongChang 2018, dan pemilihan Prancis 2017.
Awal tahun ini, pada bulan Februari, penasehat keamanan bersama yang dikeluarkan oleh badan keamanan siber AS dan Inggris juga menyematkan botnet Cyclops Blink tentang mata-mata militer Rusia sebelum itu gangguan yang mencegah penggunaannya dalam serangan.
