微软将针对乌克兰波兰的Prestige Ransomware攻击归咎于俄罗斯黑客

微软周四将最近针对乌克兰和波兰运输和物流部门的勒索软件事件一连串归因于与俄罗斯国家支持的Sandworm 组织有重叠的黑客组织。

这家科技巨头上个月披露的这些攻击涉及一种名为Prestige的先前未记录的恶意软件，据说所有受害者都在一小时内相互攻击。

Microsoft 威胁情报中心 (MSTIC) 现在正在其元素主题绰号 Iridium (née DEV-0960) 下跟踪威胁行为者，这是一个总部位于俄罗斯的组织。名称为 Sandworm（又名 Iron Viking、TeleBots 和 Voodoo Bear） .

MSTIC在更新中表示：“这种归因评估基于取证人工制品，以及受害者学、贸易技术、能力和基础设施与已知的 Iridium 活动的重叠。”

该公司还进一步评估该组织早在 2022 年 3 月就针对许多 Prestige 受害者进行了精心策划的妥协活动，最终于 10 月 11 日部署了勒索软件。

最初的入侵方法仍然未知，但怀疑它涉及获得激活杀伤链所需的高特权凭据。

该调查结果是在 Recorded Future 将另一个活动组 (UAC-0113) 与 Sandworm 演员联系起来一个多月后得出的，该组织通过伪装成该国的电信提供商为受感染的机器提供后门来挑出乌克兰用户。

微软在上周发布的《数字防御报告》中进一步指出了 Iridium 以关键基础设施和运营技术实体为目标的模式。