Neue „Prestige“-Ransomware betrifft Organisationen in der Ukraine und Polen

Das Microsoft Threat Intelligence Center (MSTIC) hat Beweise für eine neuartige Ransomware-Kampagne identifiziert, die auf Organisationen in der Transport- und verwandten Logistikbranche in der Ukraine und Polen abzielt und eine bisher nicht identifizierte Ransomware-Nutzlast verwendet. Wir haben festgestellt, dass diese neue Ransomware, die sich in ihrer Lösegeldforderung „Prestige Ranusomware“ nennt, bei Angriffen am 11. Oktober eingesetzt wurde, die innerhalb einer Stunde auf alle Opfer ausgeführt wurden.

Diese Kampagne wies mehrere bemerkenswerte Merkmale auf, die sie von anderen von Microsoft verfolgten Ransomware-Kampagnen unterschieden: Der unternehmensweite Einsatz von Ransomware ist in der Ukraine nicht üblich, und diese Aktivität war keiner der 94 derzeit aktiven Ransomware-Aktivitätsgruppen zugeordnet, die Microsoft verfolgt Prestige-Ransomware, die von Microsoft vor dieser Bereitstellung nicht beobachtet wurde. Die Aktivität ähnelt der Viktimologie der jüngsten russischen staatsnahen Aktivitäten, insbesondere in den betroffenen Regionen und Ländern, und überschneidet sich mit früheren Opfern der FoxBlade-Malware (auch bekannt als HermeticWiper). Trotz der Verwendung ähnlicher Einsatztechniken unterscheidet sich die Kampagne von den jüngsten zerstörerischen Angriffen mit AprilAxe (ArguePatch)/CaddyWiper oder Foxblade (HermeticWiper), die in den letzten zwei Wochen mehrere kritische Infrastrukturorganisationen in der Ukraine getroffen haben. MSTIC hat diese Ransomware-Kampagne noch nicht mit einer bekannten Bedrohungsgruppe in Verbindung gebracht und setzt die Untersuchung fort. MSTIC verfolgt diese Aktivität als DEV-0960.

Microsoft verwendet DEV-####-Bezeichnungen als temporäre Namen für unbekannte, aufkommende oder sich entwickelnde Cluster von Bedrohungsaktivitäten, sodass MSTIC sie als eindeutigen Informationssatz verfolgen kann, bis wir hohes Vertrauen in den Ursprung oder die Identität des Akteurs hinter der Aktivität haben. Sobald ein DEV die Kriterien erfüllt, wird er zu einem benannten Akteur befördert oder mit bestehenden Akteuren zusammengeführt. Ziel dieses Blogs ist es, Microsoft-Kunden und der breiteren Sicherheitsgemeinschaft Bewusstsein und Indikatoren für Gefährdungen (IOCs) zu vermitteln. Microsoft beobachtet dies weiterhin und ist dabei, Kunden, die von DEV-0960 betroffen, aber noch nicht entschädigt sind, frühzeitig zu benachrichtigen. MSTIC arbeitet außerdem aktiv mit der breiteren Sicherheitsgemeinschaft und anderen strategischen Partnern zusammen, um Informationen auszutauschen, die dazu beitragen können, dieser sich entwickelnden Bedrohung über mehrere Kanäle zu begegnen. Wir empfehlen dringend die Verwendung der Antimalware-Lösung.