Η Microsoft έχει επισημάνει ένα νέο ransomware – το οποίο ονομάζει Prestige – που πλήττει οργανισμούς μεταφορών και υλικοτεχνικής υποστήριξης στην Ουκρανία και την Πολωνία.
Δείτε επίσης: Η αστυνομία ξεγέλασε την συμμορία Deadbolt ransomware και πήρε τα decryption keys
Δείτε επίσης: Καμπάνια phishing κάνει spoof το Google Translate και κλέβει τα credentials σας
Η Microsoft δεν έχει δει τους εισβολείς να χρησιμοποιούν συγκεκριμένο software exploit, αλλά όλες οι επιθέσεις χρησιμοποιούν κλεμμένα admin account credentials Active Directory.
Το σημείωμα λύτρων αυτοπροσδιορίζεται ως “Prestige ranusomeware”, σύμφωνα με το Microsoft Threat Intelligence Center (MSTIC).
Το ransomware Prestige κυκλοφόρησε στις 11 Οκτωβρίου και ξεχώρισε επειδή το enterprise-wide deployment του ransomware δεν είναι συνηθισμένο στην Ουκρανία και αυτή η δραστηριότητα δεν συνδέθηκε με καμία από τις 94 ενεργές ομάδες δραστηριοτήτων ransomware που παρακολουθεί η Microsoft.
Επίσης, η δραστηριότητα μοιράζεται τη θυματολογία με την πρόσφατη δραστηριότητα state-aligned της Ρωσίας, ειδικά σε επηρεαζόμενες γρωγραφικές περιοχές και χώρες, και επικαλύπτεται με προηγούμενα θύματα του malware FoxBlade (γνωστό και ως HermeticWiper).
Ωστόσο, η MSTIC λέει ότι η καμπάνια Prestige είναι ξεχωριστή από το HermeticWiper και πρόκειται για ένα άλλο καταστροφικό κακόβουλο λογισμικό που έχει αναπτυχθεί σε πολλούς φορείς εκμετάλλευσης κρίσιμων υποδομών της Ουκρανίας τις τελευταίες δύο εβδομάδες. Η Microsoft παρακολουθεί τα malware που έχουν αναπτυχθεί σε οργανισμούς της Ουκρανίας από τον Ιανουάριο.
Η MSTIC παρακολουθεί αυτήν τη δραστηριότητα ως DEV-0960. Το DEV είναι ο όρος του για τους προηγουμένως άγνωστους απειλητικούς παράγοντες.
Η ομάδα χρησιμοποιεί πολλά δημόσια διαθέσιμα εργαλεία για την εκτέλεση απομακρυσμένου κώδικα και την απόκτηση administrator credentials υψηλών προνομίων. Αλλά η MSTIC δεν γνωρίζει πώς οι εισβολείς αποκτούν αρχική πρόσβαση στα δίκτυα. Υποπτεύεται ότι οι επιτιθέμενοι είχαν ήδη προνομιακά credentials από προηγούμενα compromises. Σε όλες τις περιπτώσεις, παρόλο που οι χάκερ απέκτησαν πρόσβαση, είχαν ήδη δικαιώματα διαχειριστή domain πριν από την ανάπτυξη του ransomware.
Δείτε επίσης: 45.000 servers VMware ESXi μόλις έφτασαν στο end-of-life τους
Η Microsoft περιγράφει τρεις βασικές μεθόδους που χρησιμοποίησε η ομάδα μέσα σε μία ώρα από κάθε επίθεση. Το γεγονός ότι χρησιμοποιούσαν πολλαπλές μεθόδους, αντί για μία, ήταν ασυνήθιστο.
“Το τοπίο απειλών στην Ουκρανία συνεχίζει να εξελίσσεται και οι καταστροφικές επιθέσεις είναι ένα consistent θέμα”, προειδοποίησε η Microsoft.
Πηγή πληροφοριών: zdnet.com
