15.10.22
Neue „Prestige“-Ransomware betrifft Organisationen in der Ukraine und Polen
Das Microsoft Threat Intelligence Center (MSTIC) hat Beweise für eine neuartige Ransomware-Kampagne identifiziert, die sich an Organisationen in der Transport- und verwandten Logistikbranche in der Ukraine und Polen richtet und eine zuvor nicht identifizierte Ransomware-Nutzlast verwendet. Wir haben beobachtet, dass diese neue Ransomware, die sich in ihrer Lösegeldforderung als „Prestige-Ranusomeware“ bezeichnet, am 11. Oktober bei Angriffen eingesetzt wurde, die innerhalb einer Stunde auf alle Opfer verübt wurden.
Diese Kampagne hatte mehrere bemerkenswerte Merkmale, die sie von anderen von Microsoft verfolgten Ransomware-Kampagnen unterscheiden:
Die unternehmensweite Bereitstellung von Ransomware ist in der Ukraine nicht üblich, und diese Aktivität war mit keiner der 94 derzeit aktiven Ransomware-Aktivitätsgruppen verbunden, die Microsoft verfolgt
Die Prestige-Ransomware wurde von Microsoft vor dieser Bereitstellung nicht beobachtet
Die Aktivität teilt die Viktimologie mit jüngsten staatlich ausgerichteten Aktivitäten Russlands, insbesondere in betroffenen Regionen und Ländern, und überschneidet sich mit früheren Opfern der FoxBlade-Malware (auch bekannt als HermeticWiper).
Trotz der Verwendung ähnlicher Bereitstellungstechniken unterscheidet sich die Kampagne von den jüngsten destruktiven Angriffen, die AprilAxe (ArguePatch)/CaddyWiper oder Foxblade (HermeticWiper) nutzen, die in den letzten zwei Wochen mehrere kritische Infrastrukturorganisationen in der Ukraine getroffen haben. MSTIC hat diese Ransomware-Kampagne noch nicht mit einer bekannten Bedrohungsgruppe in Verbindung gebracht und setzt die Untersuchungen fort. MSTIC verfolgt diese Aktivität als DEV-0960.
Microsoft verwendet DEV-####-Bezeichnungen als temporären Namen für unbekannte, aufkommende oder sich entwickelnde Cluster von Bedrohungsaktivitäten, sodass MSTIC diese als eindeutigen Informationssatz verfolgen kann, bis wir ein hohes Vertrauen in den Ursprung oder die Identität erreichen des Akteurs hinter der Aktivität. Sobald es die Kriterien erfüllt, wird ein DEV in einen benannten Akteur umgewandelt oder mit vorhandenen Akteuren zusammengeführt.
Dieser Blog zielt darauf ab, Microsoft-Kunden und der größeren Sicherheitsgemeinschaft Bewusstsein und Indikatoren für Kompromittierung (IOCs) zu vermitteln. Microsoft überwacht dies weiterhin und ist dabei, Kunden frühzeitig zu benachrichtigen, die von DEV-0960 betroffen, aber noch nicht freigekauft wurden. MSTIC arbeitet auch aktiv mit der breiteren Sicherheitsgemeinschaft und anderen strategischen Partnern zusammen, um Informationen auszutauschen, die dazu beitragen können, dieser sich entwickelnden Bedrohung über mehrere Kanäle zu begegnen.