自 10 月以来,针对乌克兰和波兰的运输和物流组织的一系列攻击与 Prestige 勒索软件有关,这些攻击与俄罗斯精英军事网络间谍组织有关。
Microsoft 安全威胁情报 (MSTIC) 的研究人员根据取证文物和受害者学、交易技巧、能力和与该组织先前活动重叠的基础设施,将勒索软件攻击锁定在俄罗斯 Sandworm 威胁组织上。
攻击者在受害者的企业网络中部署了勒索软件有效载荷。这种策略在针对乌克兰组织的攻击中很少见,它与俄罗斯之前与国家结盟的活动相匹配,例如在入侵乌克兰开始之前使用HermeticWiper破坏性恶意软件。
“截至 2022 年 11 月,MSTIC 评估 IRIDIUM 很可能执行了 Prestige 勒索软件式攻击,”MSTIC说。
“Prestige 运动可能会突显 IRIDIUM 破坏性攻击计算的谨慎转变,这表明直接向乌克兰提供或运送人道主义或军事援助的组织面临的风险增加。
“更广泛地说,这可能对东欧的组织构成更大的风险,这些组织可能被俄罗斯国家认为正在提供与战争有关的支持。”
通过使用多种方法进行 Prestige 勒索软件部署,包括使用 Windows 计划任务、编码的 PowerShell 命令和默认域组策略对象,这些威胁行为者的复杂性得到了体现。
在之前的报告中,微软分享了一系列入侵指标 (IOC) 和高级搜索查询,以帮助管理员抵御 Prestige 勒索软件攻击。
臭名昭著的俄罗斯军事黑客
Sandworm(又名 BlackEnergy、Voodoo Bear、TeleBots)是一个俄罗斯黑客组织,自 2000 年代中期以来活跃了至少 20 年,据信其成员是俄罗斯 GRU 特殊技术主要中心 (GTsST) 74455 单元的一部分。
它们与导致 2015 年和 2016 年乌克兰停电的攻击 [ 1 , 2 , 3 ] 以及针对乌克兰银行的KillDisk 擦除器攻击有关。
该组织还被认为创建了 NotPetya 勒索软件,从 2017 年 6 月开始造成数十亿美元的损失。
2020 年 10 月,美国司法部指控该组织的六名特工从事与 NotPetya 勒索软件攻击、2018 年平昌冬奥会和 2017 年法国大选有关的黑客行动。
今年早些时候,在 2 月,美国和英国网络安全机构发布的联合安全咨询也将 Cyclops Blink 僵尸网络锁定在俄罗斯军事网络间谍之前,其中断阻止了其在攻击中的使用。
