Cyberthreat.id – Peneliti keamanan di Microsoft Security Threat Intelligence (MSTIC) mengaitkan sejumlah serangan siber yang menargetkan organisasi transportasi dan logistik di Ukraina dan Polandia yang menggunakan ransomware Prestige, dengan kelompok spionase militer Rusia.

Dikutip dari Bleeping Computer, peneliti mengaitkan serangan yang terjadi sejak Oktober lalu itu dengan kelompok ancaman Sandworm, berdasarkan artefak forensik dan viktimologi, tradecraft, kemampuan, dan infrastruktur yang tumpang tindih dengan aktivitas grup sebelumnya.

Peneliti menjelaskan, para penyerang menyebarkan muatan ransomware di seluruh jaringan perusahaan korban mereka. Taktik ini jarang terlihat dalam serangan yang menargetkan organisasi Ukraina, dan ini cocok dengan aktivitas negara Rusia sebelumnya, seperti penggunaan malware perusak HermeticWiper sebelum dimulainya invasi ke Ukraina.

“Pada November 2022, MSTIC menilai bahwa IRIDIUM kemungkinan besar mengeksekusi serangan gaya ransomware Prestige,” kata peneliti MSTIC.

Menurut mereka, kampanye ini menyoroti perubahan terukur dalam perhitungan serangan destruktif IRIDIUM. Hal ini menandakan peningkatan risiko bagi organisasi yang secara langsung memasok atau mengangkut bantuan kemanusiaan atau militer ke Ukraina.

“Lebih luas lagi, itu mungkin merupakan peningkatan risiko bagi organisasi di Eropa Timur yang mungkin dianggap oleh negara Rusia untuk memberikan dukungan yang berkaitan dengan perang,” kata mereka.

Bahkan, kecanggihan aktor ancaman disorot oleh penggunaan beberapa metode untuk penyebaran ransomware Prestige, termasuk penggunaan tugas terjadwal Windows, perintah PowerShell yang disandikan, dan Objek Kebijakan Grup Domain Default.

Dalam laporan sebelumnya, Microsoft membagikan daftar indikator kompromi (IOC) dan kueri perburuan lanjutan untuk membantu admin bertahan melawan serangan ransomware Prestige. Sandworm (alias BlackEnergy, Voodoo Bear, TeleBots) adalah kelompok peretasan Rusia yang aktif setidaknya selama dua dekade sejak pertengahan 2000-an, dengan anggotanya diyakini sebagai bagian dari Unit 74455 dari Pusat Utama Teknologi Khusus GRU Rusia (GTsST).

Mereka telah dikaitkan dengan serangan yang mengarah ke pemadaman listrik Ukraina tahun 2015 dan 2016 [1, 2, 3] dan serangan wiper KillDisk yang menargetkan bank Ukraina. Kelompok ini juga diyakini telah menciptakan ransomware NotPetya yang menyebabkan miliaran kerusakan mulai Juni 2017.

Pada Oktober 2020, Departemen Kehakiman A.S. mendakwa enam anggota kelompok tersebut atas operasi peretasan yang terkait dengan serangan ransomware NotPetya, Olimpiade Musim Dingin PyeongChang 2018, dan pemilihan Prancis 2017.

Awal tahun ini, pada bulan Februari, penasehat keamanan bersama yang dikeluarkan oleh badan keamanan siber AS dan Inggris juga menyematkan botnet Cyclops Blink pada mata-mata militer Rusia.