O confronto entre a Ucrânia e Rússia trava embates em inúmeros ambientes, inclusive o digital. Entretanto, um ransomware, o “Prestige”, protagoniza uma série de ataques na Ucrânia e na Polônia. Desde outubro, algumas organizações de transporte e logística desses países têm visto o malware em ação. A origem do ataque seria de um grupo de hackers militares de elite russos.
O que se sabe sobre o grupo de hackers russo
O grupo de ciberespionagem militar da Rússia foi descoberto após uma busca de pesquisadores da Microsoft Security Threat Intelligence (MSTIC). Eles focaram nos ataques de ransomware do grupo russo de ameaças Sandworm.
Chegar aos hackers não foi uma tarefa simples, os pesquisadores usaram artefatos forenses, tradecraft, vitimologia, e estudaram as atividades anteriores do grupo.
Os invasores usaram uma abordagem rara, vista em alguns ataques feitos a organizações ucranianas anteriormente. Elas vão corresponder a atividades anteriores do estado russo, que implantou diversas cargas de ransomware nas redes corporativas das vítimas. Como o BleepingComputer destacou, a MSTIC revela mais detalhes:
“A campanha Prestige pode destacar uma mudança medida no cálculo de ataque destrutivo do IRIDIUM, sinalizando um risco aumentado para organizações que fornecem ou transportam diretamente assistência humanitária ou militar para a Ucrânia.
A potência dos ataques do grupo pode não ficar restrita apenas aos alvos ucranianos, mas expandindo até aqueles todos considerados apoiadores no conflito contra o Kremlin.
Mais amplamente, pode representar um risco aumentado para organizações na Europa Oriental que podem ser consideradas pelo Estado russo como fornecendo apoio relacionado à guerra.
A sofisticação dos agentes de ameaças foi destacada pelo uso de vários métodos para implantação do ransomware Prestige, incluindo o uso de tarefas agendadas do Windows, comandos codificados do PowerShell e o Objeto de Política de Grupo de Domínio Padrão.”
Mais detalhes sobre a fama dos hackers de elite russos
Sandworm também responde por nomes como TeleBots ou Voodoo Bear, de modo que é um grupo de hackers russo. Ele atua há nada menos do que duas décadas, ou seja, desde o início desse milênio. Não é a primeira vez que eles confrontam a Ucrânia, de modo que levam a autoria pelos apagões no país que ocorreram em 2015 e 2016.
Também é possível que o grupo seja o criador do NotPetya, um ransomware que atingiu a Ucrânia em 2017 e causou bilhões em prejuízo para bancos. Além disso, em outubro de 2020, seis dos agentes do grupo foram acusados pelo Departamento de Justiça dos EUA, de realizar o ataque com ransomware NotPetya às eleições francesas de 2017 e aos Jogos Olímpicos de Inverno de PyeongChang 2018.
Com informações: BleepingComputer
O que você achou? Siga @bitmagazineoficial no Instagram para ver mais e deixar seu comentário clicando aqui