Microsoft: destructieve malware gericht op Oekraïense organisaties
Microsoft Threat Intelligence Center (MSTIC) heeft bewijs gevonden van een destructieve malware-operatie die gericht is op meerdere organisaties in Oekraïne. Deze malware verscheen voor het eerst op systemen van slachtoffers in Oekraïne op 13 januari 2022. Microsoft is op de hoogte van de aanhoudende geopolitieke gebeurtenissen in Oekraïne en de omliggende regio en moedigt organisaties aan om de informatie in dit bericht te gebruiken om proactief te beschermen tegen kwaadaardige activiteiten.
Microsoft meldt: "Terwijl ons onderzoek doorgaat, heeft MSTIC geen opmerkelijke associaties gevonden tussen deze waargenomen activiteit, bijgehouden als DEV-0586, en andere bekende activiteitsgroepen. MSTIC beoordeelt dat de malware, die is ontworpen om eruit te zien als ransomware maar zonder een mechanisme voor het herstellen van losgeld, bedoeld is om destructief te zijn en ontworpen is om gerichte apparaten onbruikbaar te maken in plaats van losgeld te verkrijgen.
Op dit moment en op basis van de zichtbaarheid van Microsoft hebben onze onderzoeksteams de malware op tientallen getroffen systemen geïdentificeerd en dat aantal zou kunnen groeien naarmate ons onderzoek vordert. Deze systemen omvatten meerdere overheids-, non-profit- en informatietechnologie-organisaties, allemaal gevestigd in Oekraïne. We kennen de huidige fase van de operationele cyclus van deze aanvaller niet of hoeveel andere slachtofferorganisaties er mogelijk zijn in Oekraïne of andere geografische locaties. Het is echter onwaarschijnlijk dat deze getroffen systemen de volledige omvang van de impact vertegenwoordigen, zoals andere organisaties melden.
Gezien de omvang van de waargenomen inbraken, is MSTIC niet in staat om de bedoeling van de geïdentificeerde destructieve acties te beoordelen, maar is ze wel van mening dat deze acties een verhoogd risico vormen voor een overheidsinstantie, non-profitorganisatie of onderneming die zich in Oekraïne of met systemen bevindt. We raden alle organisaties ten zeerste aan om onmiddellijk een grondig onderzoek in te stellen en verdedigingen te implementeren met behulp van de informatie in dit bericht. MSTIC zal deze blog bijwerken omdat we aanvullende informatie hebben om te delen.
Zoals bij alle waargenomen activiteiten van nationale actoren, stelt Microsoft klanten die het doelwit of gecompromitteerd zijn rechtstreeks en proactief op de hoogte, zodat ze de informatie krijgen die ze nodig hebben om hun onderzoeken te begeleiden. MSTIC werkt ook actief samen met leden van de wereldwijde beveiligingsgemeenschap en andere strategische partners om via meerdere kanalen informatie te delen die deze veranderende dreiging kan aanpakken. Microsoft gebruikt DEV-####-aanduidingen als een tijdelijke naam die wordt gegeven aan een onbekende, opkomende of zich ontwikkelende cluster van bedreigingsactiviteit, waardoor MSTIC deze als een unieke set informatie kan volgen totdat we een hoog vertrouwen hebben over de oorsprong of identiteit van de acteur achter de activiteit. Zodra het aan de criteria voldoet, wordt een DEV geconverteerd naar een benoemde acteur of samengevoegd met bestaande acteurs."
Oekraïne meldt inmiddels bewijs ite hebben dat Rusland achter de cyberaanval zit.
