W serii ataków na ukraińskie i polskie firmy od 11 października rozprzestrzeniało się nieznane wcześniej złośliwe oprogramowanie. Zostało to ogłoszone w piątek przez ekspertów ds. bezpieczeństwa z Centrum Analizy Zagrożeń Microsoftu (MSTIC). Nie przyjęli żadnych założeń co do pochodzenia ataku, ale wskazali, że cele były takie same, jak w przypadku poprzednich rosyjskich cyberataków.
Firma MSTIC zidentyfikowała dowody na nową kampanię oprogramowania ransomware, napisz ekspertów na blogu o bezpieczeństwie: „Zaobserwowaliśmy, że to nowe oprogramowanie ransomware, które w nocie z żądaniem okupu nosi nazwę 'Prestige ranusomware’, zostało użyte w atakach z 11 października, które zostały przeprowadzone na wszystkich ofiarach w mniej niż godzinę.”
Według ekspertów kampania ma godne uwagi cechy i nie jest powiązana z żadną z pozostałych 94 aktywnych grup ransomware śledzonych przez Microsoft. Atak na całe firmy za pośrednictwem oprogramowania ransomware był rzadko obserwowany na Ukrainie.
Dziwne wariacje
MSTIC śledzi aktywność pod oznaczeniem „DEV-0960” i stara się zapewnić szybkie powiadomienie klientom, którzy zostali dotknięci DEV-0960, ale jeszcze nie wykorzystali. W aktywności DEV-0960 metody wykorzystywane do dostarczania oprogramowania ransomware do zaatakowanych środowisk różniły się, jak czytamy w poście na blogu. „Wygląda jednak na to, że nie wynika to z konfiguracji zabezpieczeń uniemożliwiających atakującemu użycie tych samych technik. Jest to szczególnie godne uwagi, biorąc pod uwagę, że wszystkie wdrożenia ransomware miały miejsce w ciągu godziny”.
Ransomware „Prestige” wymaga do uruchomienia uprawnień administratora. Najwyraźniej najpierw przechwytywane są dane dostępowe, które następnie rozszerzają atak. W ten sposób dane dostępowe można również uzyskać z kopii zapasowych Active Directory. Po zaszyfrowaniu istniejących danych w systemie, malware usuwa dostępne kopie zapasowe.
(dwi)
„Guru kulinarny. Typowy ewangelista alkoholu. Ekspert muzyki.