Microsoft vincula el ransomware Prestige con un grupo de ciberdelincuentes ruso

Este ranosmware ha sido utilizado recientemente en una serie de ataques contra los sectores de logística y de transportes en Ucrania y Polonia.

Alberto Payo

Periodista

Guardar

ransomware.
ransomware.

Microsoft ha compartido en un post que el ransomware conocido como 'Prestige' podría tener su origen en un grupo de piratas informáticos con sede en Rusia llamado Iridium. Aunque el artículo se publicó en octubre lo ha actualizado para indicar su autoría. 

El citado ransomware se ha hecho especialmente prolífico por atacar a varias empresas de transporte y logística en Ucrania y Polonia el mes pasado. 

El equipo de seguridad de Microsoft ha podido constatar que ha comprometido a múltiples víctimas desde marzo, cuando Rusia inició su invasión a Ucrania. 

Para determinar su origen la compañía de Redmond se ha basado en varios indicadores, incluyendo la infraestructura usada en los ataques y los artefactos forenses. 

A partir de noviembre de 2022, MSTIC ha evaluado que es muy probable que Iridium haya ejecutado el ataque al estilo del ransomware Prestige. Se trata de un actor de amenazas con sede en Rusia rastreado por Microsoft, superpuesto públicamente con Sandworm, que ha estado constantemente activo en la guerra en Ucrania y ha sido vinculado a ataques destructivos desde el comienzo de la guerra”, ha explicado la compañía tecnológica.

Microsoft ha revelado como el colectivo de cibermalos había obtenido un alto nivel de acceso a las redes objetivo a través de medios aun desconocidos. 

No obstante, comentan que se ha dado "un cambio medido en el cálculo de ataques destructivos de Iridium, lo que indica un mayor riesgo para las organizaciones que suministran o transportan directamente asistencia humanitaria o militar a Ucrania".

En términos más generales, puede representar un mayor riesgo para las organizaciones en Europa del Este que el estado ruso puede considerar que brindan apoyo relacionado con la guerra”, explican los investigadores.

Colaboración con Ucrania

La empresa co-fundada por Bill Gates también ha comunicado que ha estado trabajando con CERT UA, el organismo principal en Ucrania dedicado a la respuesta a incidentes informáticos, para investigar los ataques. 

Microsoft ha encontrado tres métodos distintos para implementar el ransomware: Dos atacantes involucrados cargaron la carga útil en una carpeta compartida de administración y luego la activaron en los sistemas de red usando herramientas de código remoto para activarlos en los sistemas de la víctima. Un tercero implicó que la carga útil se agregara al controlador de dominio de Active Directory y se implementara en las redes.

Este modus operandi es lo que le hizo sospechar a la firma de las ventanas, ya que no estaba vinculado a ninguno de los 94 grupos de ransomware que ya estaba rastreando.