Microsoft bringt russisches Militär mit Cyberangriffen in Polen und der Ukraine in Verbindung
Microsoft bringt russisches Militär mit Cyberangriffen in Polen und der Ukraine in Verbindung
Expand
Getty Images
Microsoft nannte am Donnerstag den russischen Militärgeheimdienst als den wahrscheinlichen Schuldigen an den Ransomware-Angriffen im letzten Monat, die auf polnische und ukrainische Transport- und Logistikunternehmen abzielten.
Wenn die Einschätzung der Mitglieder des Microsoft Security Threat Intelligence Center (MSTIC) richtig ist, könnte dies die US-Regierung und ihre europäischen Kollegen beunruhigen. Polen ist Mitglied der NATO und ein starker Unterstützer der Ukraine bei ihrem Versuch, eine unprovozierte russische Invasion zu verhindern. Die mit Cyberangriffen in Verbindung stehende Hacking-Gruppe des Softwareunternehmens – in breiteren Forschungskreisen als Sandworm und in Redmond, Washington, als Iridium bekannt – ist eine der talentiertesten und zerstörerischsten der Welt und wird allgemein verdächtigt, vom russischen Militärgeheimdienst GRU unterstützt zu werden /p>
Sandworm wurde definitiv mit den NotPetya-Wischerangriffen von 2017 in Verbindung gebracht, einem globalen Ausbruch, der nach Schätzungen des Weißen Hauses einen Schaden von 10 Milliarden US-Dollar verursachte und damit zum teuersten Hack der Welt wurde. Sandworm wurde auch definitiv mit Hacks im ukrainischen Stromnetz in Verbindung gebracht, die in den kälteren Monaten des Jahres 2016 und erneut im Jahr 2017 zu weit verbreiteten Stromausfällen führten.
Geben Sie Prestige ein
Letzten Monat sagte Microsoft, Transport- und Logistikunternehmen in Polen und der Ukraine seien das Ziel von Cyberangriffen gewesen, bei denen eine nie zuvor gesehene Ransomware namens Prestige eingesetzt wurde. Bedrohungsakteure, so Microsoft, hätten bereits die Kontrolle über die Opfernetzwerke übernommen. Dann, in einer einzigen Stunde am 11. Oktober, haben die Hacker alle seine Opfer mit Prestiged belegt.
Sobald die Ransomware installiert war, durchsuchte sie alle Systemdateien des infizierten Computers und verschlüsselte den Inhalt von Dateien mit den Endungen .txt, .png, gpg und über 200 anderen Erweiterungen. Prestige hängte dann die Erweiterung .enc an die vorhandene Erweiterung der Datei an. Microsoft schrieb den Angriff einer unbekannten Bedrohungsgruppe zu, die es DEV-0960 nannte.
Am Donnerstag aktualisierte Microsoft den Bericht, um zu sagen, dass Forscher auf der Grundlage von forensischen Artefakten und Überschneidungen in der Viktimologie, Handwerkskunst, Fähigkeiten und Infrastruktur festgestellt haben, dass das DEV-0960 höchstwahrscheinlich Iridium war.
„Die Prestige-Kampagne könnte eine gemessene Änderung in der Berechnung zerstörerischer Iridium-Angriffe hervorheben und ein erhöhtes Risiko für Organisationen signalisieren, die direkt humanitäre oder militärische Hilfe in die Ukraine leisten oder transportieren“, schrieben die Mitglieder von MSTIC. "Allgemeiner kann dies ein erhöhtes Risiko für Organisationen in Osteuropa darstellen, die vom russischen Staat als kriegsbezogene Unterstützung angesehen werden könnten."
Im Update vom Donnerstag heißt es weiter, dass sich die Prestige-Kampagne von den zerstörerischen Angriffen der letzten zwei Wochen unterscheidet, bei denen nachverfolgte Malware wie AprilAxe (ArguePatch)/CaddyWiper oder Foxblade (HermeticWiper) eingesetzt wurde, um auf mehrere kritische Infrastrukturen in der Ukraine abzuzielen. Während die Forscher sagten, sie wüssten immer noch nicht, welche Bedrohungsgruppe hinter diesen Taten steckt, haben sie jetzt genügend Beweise, um Iridium als die Gruppe hinter den Prestige-Angriffen zu identifizieren. Microsoft ist dabei, Kunden zu benachrichtigen, die „von Iridium betroffen, aber noch nicht freigekauft wurden“, schrieben sie.
Die Raffinesse der Angriffe unterstreichend, nutzten Iridium-Mitglieder verschiedene Methoden, um Prestige in den Zielnetzwerken bereitzustellen. Dazu gehörten:
Microsoft nannte am Donnerstag den russischen Militärgeheimdienst als den wahrscheinlichen Schuldigen an den Ransomware-Angriffen im letzten Monat, die auf polnische und ukrainische Transport- und Logistikunternehmen abzielten.
Wenn die Einschätzung der Mitglieder des Microsoft Security Threat Intelligence Center (MSTIC) richtig ist, könnte dies die US-Regierung und ihre europäischen Kollegen beunruhigen. Polen ist Mitglied der NATO und ein starker Unterstützer der Ukraine bei ihrem Versuch, eine unprovozierte russische Invasion zu verhindern. Die mit Cyberangriffen in Verbindung stehende Hacking-Gruppe des Softwareunternehmens – in breiteren Forschungskreisen als Sandworm und in Redmond, Washington, als Iridium bekannt – ist eine der talentiertesten und zerstörerischsten der Welt und wird allgemein verdächtigt, vom russischen Militärgeheimdienst GRU unterstützt zu werden /p>
Sandworm wurde definitiv mit den NotPetya-Wischerangriffen von 2017 in Verbindung gebracht, einem globalen Ausbruch, der nach Schätzungen des Weißen Hauses einen Schaden von 10 Milliarden US-Dollar verursachte und damit zum teuersten Hack der Welt wurde. Sandworm wurde auch definitiv mit Hacks im ukrainischen Stromnetz in Verbindung gebracht, die in den kälteren Monaten des Jahres 2016 und erneut im Jahr 2017 zu weit verbreiteten Stromausfällen führten.
Geben Sie Prestige ein
Letzten Monat sagte Microsoft, Transport- und Logistikunternehmen in Polen und der Ukraine seien das Ziel von Cyberangriffen gewesen, bei denen eine nie zuvor gesehene Ransomware namens Prestige eingesetzt wurde. Bedrohungsakteure, so Microsoft, hätten bereits die Kontrolle über die Opfernetzwerke übernommen. Dann, in einer einzigen Stunde am 11. Oktober, haben die Hacker alle seine Opfer mit Prestiged belegt.
Sobald die Ransomware installiert war, durchsuchte sie alle Systemdateien des infizierten Computers und verschlüsselte den Inhalt von Dateien mit den Endungen .txt, .png, gpg und über 200 anderen Erweiterungen. Prestige hängte dann die Erweiterung .enc an die vorhandene Erweiterung der Datei an. Microsoft schrieb den Angriff einer unbekannten Bedrohungsgruppe zu, die es DEV-0960 nannte.
Am Donnerstag aktualisierte Microsoft den Bericht, um zu sagen, dass Forscher auf der Grundlage von forensischen Artefakten und Überschneidungen in der Viktimologie, Handwerkskunst, Fähigkeiten und Infrastruktur festgestellt haben, dass das DEV-0960 höchstwahrscheinlich Iridium war.
„Die Prestige-Kampagne könnte eine gemessene Änderung in der Berechnung zerstörerischer Iridium-Angriffe hervorheben und ein erhöhtes Risiko für Organisationen signalisieren, die direkt humanitäre oder militärische Hilfe in die Ukraine leisten oder transportieren“, schrieben die Mitglieder von MSTIC. "Allgemeiner kann dies ein erhöhtes Risiko für Organisationen in Osteuropa darstellen, die vom russischen Staat als kriegsbezogene Unterstützung angesehen werden könnten."
Im Update vom Donnerstag heißt es weiter, dass sich die Prestige-Kampagne von den zerstörerischen Angriffen der letzten zwei Wochen unterscheidet, bei denen nachverfolgte Malware wie AprilAxe (ArguePatch)/CaddyWiper oder Foxblade (HermeticWiper) eingesetzt wurde, um auf mehrere kritische Infrastrukturen in der Ukraine abzuzielen. Während die Forscher sagten, sie wüssten immer noch nicht, welche Bedrohungsgruppe hinter diesen Taten steckt, haben sie jetzt genügend Beweise, um Iridium als die Gruppe hinter den Prestige-Angriffen zu identifizieren. Microsoft ist dabei, Kunden zu benachrichtigen, die „von Iridium betroffen, aber noch nicht freigekauft wurden“, schrieben sie.
Die Raffinesse der Angriffe unterstreichend, nutzten Iridium-Mitglieder verschiedene Methoden, um Prestige in den Zielnetzwerken bereitzustellen. Dazu gehörten:
Expand
Getty Images
