Microsoft documenteert meer dan 200 cyberaanvallen door Rusland tegen Oekraïne

Microsoft Nachrichten

Van 23 februari tot 8 april lanceerden ten minste zes verschillende, op Rusland afgestemde actoren niet minder dan 237 cyberaanvallen op Oekraïne, waaronder 38 discrete destructieve aanvallen die onherroepelijk bestanden vernietigden in honderden systemen in tientallen organisaties in het land.

„Gezamenlijk werken de cyber- en kinetische acties om de Oekraïense regering en militaire functies te verstoren of te degraderen en het vertrouwen van het publiek in diezelfde instellingen te ondermijnen“, zegt de Digital Security Unit (DSU) van het bedrijf. zei in een speciaal verslag.

De belangrijkste malwarefamilies die zijn ingezet voor destructieve activiteiten als onderdeel van Ruslands meedogenloze digitale aanvallen zijn onder meer: ​​WhisperGate, HermeticWiper (FoxBlade aka KillDisk), HermeticRansom (SonicVote), IssacWiper (Lasainraw), CaddyWiper, DesertBladeDoubleZero (FiberLake) en Industroyer2.

WhisperGate, HermeticWiper, IssacWiper en CaddyWiper zijn allemaal gegevenswissers die zijn ontworpen om gegevens te overschrijven en machines onopstartbaar te maken, terwijl DoubleZero een .NET-malware is die gegevens kan verwijderen. DesertBlade, ook een gegevenswisser, zou op 1 maart zijn gelanceerd tegen een niet nader genoemde omroeporganisatie in Oekraïne.

SonicVote, aan de andere kant, is een bestandsversleutelaar die wordt gedetecteerd in combinatie met HermeticWiper om de indringers te vermommen als een ransomware-aanval, terwijl Industroyer2 zich specifiek richt op operationele technologie om kritieke industriële productie en processen te saboteren.

Cyberaanvallen door Rusland tegen Oekraïne

Microsoft schreef HermeticWiper, CaddyWiper en Industroyer2 met matig vertrouwen toe aan een door de Russische staat gesponsorde acteur genaamd Sandworm (ook bekend als Iridium). De WhisperGate-aanvallen zijn gekoppeld aan een voorheen onbekende cluster genaamd DEV-0586, waarvan wordt aangenomen dat het gelieerd is aan de Russische militaire inlichtingendienst GRU.

32% van de in totaal 38 destructieve aanvallen zijn naar schatting gericht op Oekraïense overheidsorganisaties op nationaal, regionaal en stedelijk niveau, waarbij meer dan 40% van de aanvallen gericht was op organisaties in kritieke infrastructuursectoren in de landen.

Cyberaanvallen door Rusland tegen Oekraïne

Bovendien zei Microsoft dat Nobelium, de dreigingsactor die verantwoordelijk was voor de aanval op de toeleveringsketen van SolarWinds in 2020, probeerde binnen te vallen bij IT-bedrijven die overheidsklanten in NAVO-lidstaten bedienen, gebruikmakend van de toegang tot gegevens van westerse buitenlandse beleidsorganisaties.

Andere kwaadaardige aanvallen omvatten phishing-campagnes gericht op militaire entiteiten (Fancy Bear aka Strontium) en overheidsfunctionarissen (Primitive Bear aka Actinium), evenals gegevensdiefstal (Energetic Bear aka Bromine) en verkenningsoperaties (Venomous Bear aka Krypton).

„Het gebruik van cyberaanvallen door Rusland lijkt sterk gecorreleerd met en soms direct getimed met zijn kinetische militaire operaties gericht op diensten en instellingen die cruciaal zijn voor burgers“, Tom Burt, corporate vice president of customer security and trust, zei.

„Aangezien Russische dreigingsactoren militaire acties spiegelen en uitbreiden, denken we dat cyberaanvallen zullen blijven escaleren naarmate het conflict woedt. Het is waarschijnlijk dat de aanvallen die we hebben waargenomen slechts een fractie zijn van de activiteiten gericht op Oekraïne.“

David
Rate author
Hackarizona