El día de ayer, Microsoft señaló al brazo de la inteligencia militar rusa como el probable responsable de los ataques de ransomware del mes pasado dirigidos a organizaciones de transporte y logística polacas y ucranianas.
Si la evaluación de los miembros del Centro de Inteligencia sobre Amenazas a la Seguridad de Microsoft (MSTIC) es correcta, podría ser motivo de preocupación para el gobierno estadounidense y sus homólogos europeos. Polonia es miembro de la OTAN y un firme defensor de Ucrania en su intento de evitar una invasión rusa no provocada. El grupo de hackers que la empresa de software vinculó a los ciberataques (conocido como Sandworm en círculos de investigación más amplios e Iridium en Redmond, Washington) es uno de los más talentosos y destructivos del mundo y se cree que está respaldado por la agencia de inteligencia militar rusa GRU.
Sandworm ha sido definitivamente vinculado a los ataques del limpiaparabrisas "NotPetya" de 2017, un brote global que, según una evaluación de la Casa Blanca, causó daños por valor de 10.000 millones de dólares, convirtiéndose en el hackeo más costoso de la historia. Sandworm también se ha vinculado definitivamente a los hackeos de la red eléctrica de Ucrania que causaron cortes generalizados durante los meses más fríos de 2016 y de nuevo en 2017.
El mes pasado, Microsoft dijo que las organizaciones de transporte y logística de Polonia y Ucrania habían sido el objetivo de ciberataques que utilizaron un ransomware nunca antes visto que se anunció como Prestige. Los actores de la amenaza, según Microsoft, ya habían obtenido el control de las redes de las víctimas. Entonces, en una sola hora, el 11 de octubre, los hackers desplegaron Prestige en todas sus víctimas.
Una vez instalado, el ransomware recorrió todos los archivos del sistema de la computadora infectado y cifró el contenido de los archivos que terminaban en .txt, .png, gpg y más de 200 extensiones más. Seguido de ello, Prestige añadía la extensión .enc a la extensión existente del archivo. Microsoft atribuyó el ataque a un grupo de amenazas desconocido al que denominó DEV-0960.
El jueves, Microsoft actualizó el informe para decir que, sobre la base de los artefactos forenses y las coincidencias en la victimología, el artefacto, las capacidades y la infraestructura, los investigadores determinaron que DEV-0960 era muy probablemente Iridium.
"La campaña Prestige puede poner de manifiesto un cambio medido en el cálculo de los ataques destructivos de Iridium, señalando un mayor riesgo para las organizaciones que suministran o transportan directamente ayuda humanitaria o militar a Ucrania", escribieron los miembros de MSTIC. "Más ampliamente, puede representar un mayor riesgo para las organizaciones de Europa del Este que pueden ser consideradas por el Estado ruso como proveedoras de apoyo relacionado con la guerra".
La actualización del jueves continuó diciendo que la campaña Prestige es distinta de los ataques destructivos de las últimas dos semanas que utilizaron malware rastreado como AprilAxe (ArguePatch)/CaddyWiper o Foxblade (HermeticWiper) para atacar múltiples infraestructuras críticas en Ucrania. Aunque los investigadores dijeron que todavía no saben qué grupo de amenazas está detrás de esos actos, ahora tienen suficientes pruebas para señalar a Iridium como el grupo que está detrás de los ataques del Prestige. Microsoft está en proceso de notificar a los clientes que han sido "impactados por Iridium pero aún no han sido rescatados", escribieron.
Para subrayar la sofisticación de los ataques, los miembros de Iridium utilizaron múltiples métodos para desplegar Prestige en las redes objetivo. Entre ellos:
"La mayoría de los operadores de ransomware desarrollan un conjunto preferido de técnicas para el despliegue y ejecución de su carga útil y estas técnicas tienden a ser consistentes entre las víctimas, a menos que una configuración de seguridad impida su método preferido", explicaron los miembros de MSTIC. "En el caso de esta actividad de Iridium, los métodos utilizados para desplegar el ransomware variaron entre los entornos de las víctimas, pero no parece que se deba a configuraciones de seguridad que impidan al atacante utilizar las mismas técnicas. Esto es especialmente notable ya que todos los despliegues de ransomware se produjeron en una hora".