Blog

Microsoft vincula ataques de Ransomware en Ucrania con actores de amenazas patrocinados por el gobierno de Rusia

Durante el último tiempo, se ha estado suscitando una serie de ataques informáticos dirigidos a diferentes organizaciones de transporte y logística de Ucrania y Polonia con el ransomware que lleva por nombre Prestige, que desde octubre del presente año se han estado relacionando con un grupo de actores de amenazas respaldados y patrocinados por el gobierno ruso.

Esta acusación viene por parte de los investigadores de Microsoft Security Threat Intelligence (MSTIC) que fijaron los ataques de ransomware en el grupo APT ruso, Sandworm, basándose en evidencias forenses, oficio, capacidades e infraestructura que se superponen con las actividades anteriores del grupo, dando como efecto final un patrón de identificación en su modus operandi.

En resumen, los atacantes desplegaron una gran cantidad de Payloads de ransomware en las redes empresariales de sus víctimas. Esta táctica rara vez se ha visto en ataques dirigidos a organizaciones ucranianas, y coincide con las actividades anteriores alineadas con el estado ruso, como el uso del malware destructivo HermeticWiper antes del inicio de la invasión de Ucrania.

«A partir de noviembre de 2022, MSTIC evalúa que IRIDIUM muy probablemente ejecutó el ataque de estilo ransomware Prestige«, dijo Microsoft Security Threat Intelligence en su página web.

«La campaña Prestige puede resaltar un cambio medido en el cálculo de ataques destructivos de IRIDIUM, lo que indica un mayor riesgo para las organizaciones que suministran o transportan directamente asistencia humanitaria o militar a Ucrania

«En términos más generales, puede representar un mayor riesgo para las organizaciones en Europa del Este que el estado ruso puede considerar que brindan apoyo relacionado con la guerra«.

Las sofisticadas tácticas de los actores de amenazas se destacaron por el uso de múltiples métodos para la implementación del ransomware Prestige. Algunos de los métodos utilizados son el grupo APT son los siguientes:

  • Método 1: El Payload del ransomware se copia en el recurso compartido ADMIN$ de un sistema remoto, e Impacket se utiliza para crear de forma remota una tarea programada de Windows en los sistemas de destino para poder ejecutarlo.

Imagen: Microsoft
  • Método 2: El Payload del ransomware se copia en el recurso compartido ADMIN$ de un sistema remoto, e Impacket se utiliza para invocar de forma remota un comando de PowerShell codificado en los sistemas de destino para poder ejecutarlo.
Imagen: Microsoft
  • Método 3: El Payload del ransomware se copia en un controlador de dominio de Active Directory y se implementa en los sistemas mediante el objeto de directiva de grupo de dominio predeterminado.
Imagen: Microsoft

En un informe anterior, Microsoft compartió una lista de indicadores de compromiso (IOCs) y consultas de búsqueda avanzadas para ayudar a los administradores a defenderse contra los ataques de ransomware Prestige.

Artículos Relacionados

Protege tus aplicaciones Web y API

Accede a una evaluación completamente funciona

La primera solución completa que cubre los errores de seguridad y fallas de la lógica empresarial en todo el SDLC
Ir al Demo
Alterta Temprana de Riesgos
Reduce tu ventana de exposición al riesgo a las amenazas externas, mejorando la eficiencia en la detección y respuesta ante ciberamenazas.
Más Info
Protección de Dominios - Sendmarc
Evita y protege activamente los dominios de tu organización contra los ataques de suplantación de identidad y phishing
Más Info
Endpoint - Panda Security
Endpoint Protection Platform, EDR y Servicios de 100% Atestación y Threat Hunting integrado
Más Info

Últimos Artículos

Hablemos

Si tienes alguna duda o pregunta con nuestros servicios, puedes comunicarte directamente con nosotros o completar el formulario, y nos pondremos en contacto contigo en breve.

Email

contacto@cronup.com

Ubicación

Providencia, Santiago de Chile

Twitter

@Cronup_CyberSec

Linkedin

Cronup Ciberseguridad

CronUp Newsletter

Suscríbete a nuestro resumen semanal de noticias y alertas de seguridad para mantenerte actualizado sobre el panorama de amenazas en la región y el mundo.

* indicates required