Microsoft hôm thứ Năm đã cho rằng hàng loạt sự cố ransomware gần đây nhắm vào lĩnh vực vận tải và hậu cần ở Ukraine và Ba Lan là do một cụm mối đe dọa có chung sự trùng lặp với nhóm Sandworm do nhà nước Nga tài trợ.
Các cuộc tấn công, được gã khổng lồ công nghệ tiết lộ vào tháng trước, liên quan đến một loạt các phần mềm độc hại không có giấy tờ trước đây có tên là Uy tínvà được cho là đã diễn ra cách nhau trong vòng một giờ trên tất cả các nạn nhân.
Trung tâm Tình báo Mối đe dọa của Microsoft (MSTIC) hiện đang theo dõi tác nhân đe dọa dưới biệt danh theo chủ đề nguyên tố Iridium (nhũ danh DEV-0960), trích dẫn sự chồng chéo với Sandworm (hay còn gọi là Iron Viking, TeleBots và Voodoo Bear).
"Đánh giá phân bổ này dựa trên các hiện vật pháp y, cũng như sự chồng chéo về nạn nhân, thương mại, khả năng và cơ sở hạ tầng, với hoạt động Iridium đã biết," MSTIC cho biết trong một bản cập nhật.
Công ty cũng đánh giá thêm nhóm đã dàn dựng hoạt động thỏa hiệp nhắm vào nhiều nạn nhân Uy tín từ tháng 2022 năm 11, trước khi lên đến đỉnh điểm là việc triển khai ransomware vào ngày 11 tháng 11.
Phương pháp thỏa hiệp ban đầu vẫn chưa được biết, mặc dù người ta nghi ngờ rằng nó liên quan đến việc giành quyền truy cập vào các thông tin đăng nhập đặc quyền cao cần thiết để kích hoạt killchain.
"Chiến dịch Uy tín có thể làm nổi bật một sự thay đổi đo lường trong tính toán tấn công hủy diệt của Iridium, báo hiệu rủi ro gia tăng đối với các tổ chức trực tiếp cung cấp hoặc vận chuyển hỗ trợ nhân đạo hoặc quân sự đến Ukraine", công ty cho biết.
Phát hiện được đưa ra hơn một tháng sau khi Recorded Future liên kết một nhóm hoạt động khác (UAC-0113) có mối quan hệ với diễn viên Sandworm khi đã chỉ ra người dùng Ukraine bằng cách giả mạo là nhà cung cấp viễn thông trong nước để cung cấp cửa hậu cho các máy bị xâm nhập.
Microsoft, trong Báo cáo Phòng thủ Kỹ thuật số được công bố vào tuần trước, tiếp tục chỉ trích Iridium vì mô hình nhắm mục tiêu vào các cơ sở hạ tầng quan trọng và các thực thể công nghệ hoạt động.
"Iridium đã triển khai phần mềm độc hại Industroyer2 trong một nỗ lực thất bại khiến hàng triệu người ở Ukraine mất điện", Redmond nói và cho biết thêm tác nhân đe dọa đã sử dụng "các chiến dịch lừa đảo để có quyền truy cập ban đầu vào các tài khoản và mạng mong muốn trong các tổ chức trong và ngoài Ukraine".
Sự phát triển cũng đến trong bối cảnh các cuộc tấn công ransomware kéo dài nhắm vào các tổ chức công nghiệp trên toàn thế giới trong quý 2022 năm 128, với Dragos báo cáo 128 sự cố như vậy trong khoảng thời gian so với 125 trong quý trước.
"Gia đình ransomware LockBit chiếm lần lượt 33% và 35% trong tổng số sự cố ransomware nhắm vào các tổ chức công nghiệp và cơ sở hạ tầng trong hai quý qua, khi các nhóm bổ sung các khả năng mới trong chủng LockBit 3.0 mới của họ," công ty bảo mật công nghiệp cho biết.
Các chủng nổi bật khác được quan sát thấy trong quý 3 năm 2022 bao gồm Cl0p, MedusaLocker, Sparta, BianLian, Donuts, Onyx, REvil và Yanluowang.