Le nouveau ransomware "Prestige" cible les organisations en Ukraine et en Pologne

Le Microsoft Threat Intelligence Center (MSTIC) a identifié des preuves d'une nouvelle campagne de ransomware ciblant les organisations des secteurs du transport et de la logistique associée en Ukraine et en Pologne, utilisant une charge utile de ransomware non identifiée auparavant. Nous avons observé que ce nouveau ransomware, qui se nomme "Prestige ranusomware" dans sa note de rançon, a été utilisé dans les attaques du 11 octobre, qui ont été menées sur toutes les victimes en moins d'une heure.

Cette campagne présentait plusieurs caractéristiques notables qui la distinguaient des autres campagnes de ransomware suivies par Microsoft : le déploiement de ransomware à l'échelle de l'entreprise n'est pas courant en Ukraine, et cette activité n'était associée à aucun des 94 groupes d'activités de ransomware actuellement actifs qui Microsoft suit le rançongiciel Prestige qui n'a pas été observé par Microsoft avant ce déploiement. L'activité partage la victimologie avec les récentes activités alignées sur l'État russe, en particulier dans les régions et les pays touchés, et chevauche les précédentes victimes du malware FoxBlade (alias HermeticWiper). Malgré l'utilisation de techniques de déploiement similaires, la campagne diffère des récentes attaques destructrices utilisant AprilAxe (ArguePatch)/CaddyWiper ou Foxblade (HermeticWiper) qui ont frappé plusieurs organisations d'infrastructures critiques en Ukraine au cours des deux dernières semaines. MSTIC n'a pas encore lié cette campagne de ransomware à un groupe de menaces connu et poursuit l'enquête. MSTIC suit cette activité sous DEV-0960.

Microsoft utilise les étiquettes DEV-#### comme noms temporaires pour les grappes d'activités de menace inconnues, émergentes ou évolutives, permettant à MSTIC de les suivre comme un ensemble unique d'informations jusqu'à ce que nous atteignions un niveau de confiance élevé dans l'origine ou l'identité de l'acteur à l'origine de l'activité . Une fois qu'il répond aux critères, un DEV sera promu au rang d'acteur nommé ou fusionné avec des acteurs existants. Ce blog vise à fournir aux clients Microsoft et à la communauté de la sécurité au sens large des informations et des indicateurs de compromission (IOC). Microsoft continue de surveiller cela et est en train de fournir une notification précoce aux clients concernés par DEV-0960 mais pas encore remboursés. MSTIC travaille également activement avec la communauté de la sécurité au sens large et d'autres partenaires stratégiques pour partager des renseignements qui peuvent aider à faire face à cette menace en évolution sur plusieurs canaux. Nous vous recommandons fortement d'utiliser la solution antimalware.