De aanvallers richtten zich dinsdag binnen een uur op een groot aantal systemen, zei Microsoft, en voegde eraan toe dat het nog niet in staat was geweest om de aanvallen aan een bekende groep te koppelen.

Onderzoekers ontdekten echter dat de hacks sterk overeenkwamen met eerdere aanvallen van een aan de Russische overheid gelinkt cyberteam dat Oekraïense overheidsinstanties had ontregeld.

Oekraïne is het doelwit geweest van talloze cyberaanvallen door Rusland sinds het begin van het conflict eind februari, volgens westerse beveiligingsonderzoekers en hoge regeringsfunctionarissen.

De Russische ambassade in Washington heeft niet onmiddellijk gereageerd op een verzoek om commentaar, evenmin als de cyberbeveiligingsinstanties van Oekraïne of Polen.

Slachtoffers van de nieuwe ransomware, genaamd "Prestige", overlappen met die van een andere gegevensvernietigende cyberaanval waarbij de "FoxLoad" of "HermeticWiper" malware betrokken was, aldus Microsoft.

Die aanval trof honderden computers in Oekraïne, Litouwen en Letland aan het begin van de Russische invasie in Oekraïne.

"Prestige" ransomware werkt door de gegevens van slachtoffers te versleutelen en een losgeldbrief achter te laten waarin staat dat de gegevens alleen ontgrendeld kunnen worden met de aankoop van een decoderingstool, aldus Microsoft.

In verschillende gevallen merkten de onderzoekers op dat de hackers beheerderscontrole hadden gekregen over de systemen van de slachtoffers voordat ze de ransomware inzetten, wat suggereert dat ze eerder hun referenties hadden gestolen en wachtten op het juiste moment.

"Het bedrijfsbreed inzetten van ransomware is niet gebruikelijk in Oekraïne, en deze activiteit was niet verbonden met een van de 94 momenteel actieve ransomware-activiteitengroepen die Microsoft bijhoudt," aldus de onderzoekers.