Nowe oprogramowanie ransomware atakuje sektory transportowe na Ukrainie i w Polsce

Według Microsoft, nowa kampania ransomware jest wymierzona w firmy transportowe i logistyczne na Ukrainie iw Polsce.

Nowe oprogramowanie ransomware nazwane „Prestiżowe oprogramowanie ransomware” został po raz pierwszy zidentyfikowany 11 października i był celem wielu ofiar w tym samym jednogodzinnym oknie, zgodnie z Centrum Analizy Zagrożeń Microsoftu.

Badacze nie byli w stanie dopasować szczepu do żadnej z 94 aktywnych grup oprogramowania ransomware, które obecnie śledzą. Profile ofiar są podobne do ostatnich działań propaństwowych Rosji i pokrywają się z poprzednimi ofiarami Hermetyczna wycieraczka złośliwe oprogramowanie, ale badacze zauważyli, że kampania jest oddzielna od tych niszczycielskich ataków, które były wymierzone w organizacje ukraińskie przed rosyjską inwazją w lutym. Rosja jest również jednym z globalnych epicentrów oprogramowania ransomware, w którym działa i utrzymuje wiele wiodących grup hakerskich. niejednoznaczny i symbiotyczny związek z Kremlem i tajnymi służbami.

Microsoft kontynuuje dochodzenie i tymczasowo śledzi kampanię jako DEV-0960. Firma pracuje również nad powiadomieniem dotkniętych użytkowników, którzy nie zapłacili jeszcze okupu.

Badacze odkryli, że kampania wykorzystywała trzy różne metody dostarczania ładunków do sieci ofiar, co jest nietypowe w przypadku ataków ransomware.

„Większość operatorów ransomware opracowuje preferowany zestaw technik rzemieślniczych w celu dostarczania i wykonywania swoich ładunków, a rzemiosło to jest zwykle spójne wśród ofiar, chyba że konfiguracja zabezpieczeń uniemożliwia ich preferowaną metodę” – wyjaśnił MSTIC. „W tym działaniu DEV-0960 metody wykorzystywane do dostarczania oprogramowania ransomware do środowisk ofiar były różne, ale nie wydaje się, aby wynikało to z konfiguracji zabezpieczeń uniemożliwiających atakującemu użycie tych samych technik”.

W jednej z metod ładunek ransomware jest kopiowany do udziału ADMIN$ zdalnego systemu, a imppacket jest używany do zdalnego tworzenia zaplanowanego zadania systemu Windows w systemach docelowych w celu uruchomienia ładunku.

W innym przypadku ładunek jest kopiowany do udziału ADMIN$ systemu zdalnego, a Imppacket jest używany do zdalnego wywołania zaszyfrowanego polecenia PowerShell w systemach docelowych.

Badacze odkryli również przypadki, w których ładunek ransomware jest kopiowany do kontrolera domeny Active Directory i wdrażany w systemach za pośrednictwem domyślnego obiektu zasad grupy.

W odpowiedzi na złożoność cyberprzestępców firma Microsoft zaleciła kilka działań, aby pomóc organizacjom w obronie przed potencjalnymi atakami.

Zalecenie dotyczące łagodzenia obejmuje blokowanie tworzenia procesów pochodzących z poleceń PSExec i WMI w celu zatrzymania ruchu poprzecznego, włączenie ochrony stożka w celu zapobiegania zatrzymywaniu lub zakłócaniu ataków usługi Microsoft Defender, włączenie ochrony dostarczanej z chmury w programie Microsoft Defender Antivirus oraz włączenie uwierzytelniania wieloskładnikowego w celu wymuszenia dowolnego zdalnego łączność.

„Krajobraz zagrożeń na Ukrainie stale się rozwija, a wycieraczki i destrukcyjne ataki są stałym tematem. Ataki ransomware i Wiper opierają się na wielu takich samych lukach, aby odnieść sukces” – ostrzega Microsoft.