Il Microsoft Threat Intelligence Center (MSTIC) ha identificato le prove di un’operazione distruttiva di malware che prende di mira più organizzazioni in Ucraina. Questo malware è apparso per la prima volta sui sistemi delle vittime in Ucraina il 13 gennaio 2022. Microsoft è a conoscenza degli eventi geopolitici in corso in Ucraina e nella regione circostante e incoraggia le organizzazioni a utilizzare le informazioni in questo post per proteggersi in modo proattivo da qualsiasi attività dannosa.
Mentre la nostra indagine continua, MSTIC non ha trovato alcuna associazione degna di nota tra questa attività osservata, tracciata come DEV-0586, e altri gruppi di attività noti. MSTIC valuta che il malware, progettato per assomigliare a un ransomware ma privo di un meccanismo di recupero del riscatto, è inteso come distruttivo e progettato per rendere inutilizzabili i dispositivi presi di mira piuttosto che ottenere un riscatto.
Al momento e in base alla visibilità di Microsoft, i nostri team investigativi hanno identificato il malware su dozzine di sistemi interessati e il numero potrebbe aumentare man mano che la nostra indagine continua. Questi sistemi abbracciano più organizzazioni governative, senza scopo di lucro e di tecnologia dell’informazione, tutte con sede in Ucraina. Non sappiamo la fase attuale del ciclo operativo di questo aggressore o quante altre organizzazioni vittime potrebbero esistere in Ucraina o in altre località geografiche. Tuttavia, è improbabile che questi sistemi interessati rappresentino l’intero ambito dell’impatto, come riferiscono altre organizzazioni.
Data la portata delle intrusioni osservate, MSTIC non è in grado di valutare l’intento delle azioni distruttive identificate, ma ritiene che queste azioni rappresentino un rischio elevato per qualsiasi agenzia governativa, organizzazione no-profit o impresa con sede o con sistemi in Ucraina. Incoraggiamo vivamente tutte le organizzazioni a condurre immediatamente un’indagine approfondita e ad implementare le difese utilizzando le informazioni fornite in questo post. MSTIC aggiornerà questo blog poiché abbiamo ulteriori informazioni da condividere.
Come per qualsiasi attività osservata di attori statali, Microsoft notifica direttamente e in modo proattivo i clienti che sono stati presi di mira o compromessi, fornendo loro le informazioni di cui hanno bisogno per guidare le loro indagini. MSTIC sta inoltre lavorando attivamente con i membri della comunità di sicurezza globale e altri partner strategici per condividere informazioni in grado di affrontare questa minaccia in evoluzione attraverso più canali. Microsoft utilizza le designazioni DEV-#### come nome temporaneo assegnato a un cluster sconosciuto, emergente o in via di sviluppo di attività di minaccia, consentendo a MSTIC di tracciarlo come un insieme univoco di informazioni fino a raggiungere un’elevata sicurezza sull’origine o sull’identità dell’attore dietro l’attività. Una volta che soddisfa i criteri, un DEV viene convertito in un attore con nome o unito ad attori esistenti…
