Secondo quanto riferito, le organizzazioni colpite in precedenza dal malware HermeticWiper sono state minacciate da un ransomware scatenato questo mese contro le industrie dei trasporti e della logistica in Ucraina e Polonia.
Sebbene ci sia una sovrapposizione di vittime, non è chiaro se questo ransomware Prestige e HermeticWiper siano controllati dalle stesse menti, secondo i ricercatori del Microsoft Threat Intelligence Center (MSTIC).
“Nonostante l’utilizzo di tecniche di distribuzione simili, il [Prestige] campagna è distinta dai recenti attacchi distruttivi che sfruttano AprilAxe (ArguePatch)/CaddyWiper o Foxblade (HermeticWiper) che hanno avuto un impatto su più organizzazioni di infrastrutture critiche in Ucraina nelle ultime due settimane”, hanno scritto i ricercatori in un post sul blog. “MSTIC non ha ancora collegato questo campagna ransomware a un noto gruppo di minacce e sta continuando le indagini”.
Il team Microsoft tiene traccia di Prestige come DEV-0960. MSTIC utilizza l’etichetta DEV per le minacce emergenti di cui non è stata ancora determinata l’identità degli aggressori.
Prestige, così chiamato perché si autodefinisce “Prestige ranusomeware” nelle richieste lasciate sui PC Windows infetti, è stato visto prendere di mira le organizzazioni entro un’ora l’una dall’altra l’11 ottobre, utilizzando tre metodi di distribuzione.
HermeticWiper, come suggerisce il nome, è progettato per cancellare il computer Windows di una vittima una volta in esecuzione su di esso, e si pensa che i suoi creatori e padroni siano collegati o allineati al Cremlino: ha colpito per la prima volta l’Ucraina un giorno prima dell’invasione russa. Il malware per la pulizia del disco è aumentato da quando è iniziata la guerra di Putin contro l’Ucraina a febbraio.
“Il panorama delle minacce in Ucraina continua ad evolversi e i wiper e gli attacchi distruttivi sono stati un tema coerente”, ha osservato il team di MSTIC. “Gli attacchi ransomware e wiper si basano su molte delle stesse debolezze della sicurezza per avere successo”.
Non è ancora chiaro come le reti delle vittime siano state compromesse dagli estorsionisti per eseguire il loro malware di codifica dei file. Prima che gli intrusi implementassero Prestige, tuttavia, si diceva che avessero il controllo dei sistemi tramite due strumenti di esecuzione remota, RemoteExec disponibile in commercio e Impacket WMIexec open source.
Inoltre, hanno utilizzato tre strumenti contro alcune vittime per aumentare i privilegi una volta all’interno di una rete. Questi includono winPEAS, che è una raccolta di script open source per l’escalation dei privilegi sui sistemi Windows, e comsvcs.dll per eseguire il dump della memoria del processo del servizio del sottosistema dell’autorità di sicurezza locale del sistema operativo per rubare le credenziali.
Il terzo strumento, ntdsutil.exe, viene utilizzato per eseguire il backup del database di Active Directory (AD), dal quale è possibile raccogliere le credenziali.
Successivamente, il ransomware è stato distribuito. In ogni caso, gli aggressori avevano ottenuto l’accesso a credenziali altamente privilegiate, incluso Domain Admin, per diffondere il loro codice di crittografia dei documenti.
La maggior parte degli operatori di ransomware tende a utilizzare un approccio coerente per ogni vittima, a meno che una configurazione di sicurezza non costringa a cambiare piano. Tuttavia, nel caso di Prestige, il metodo utilizzato variava da bersaglio a bersaglio.
“Ciò è particolarmente degno di nota in quanto tutte le implementazioni del ransomware sono avvenute entro un’ora”, hanno scritto i ricercatori.
In due metodi di infezione, il payload del ransomware viene copiato nella condivisione ADMIN$ di un sistema remoto. Quindi, in uno, Impacket crea un’attività pianificata di Windows sul sistema della vittima per eseguire il carico utile. Nell’altro metodo, Impacket viene utilizzato per richiamare in remoto un comando PowerShell codificato nel sistema per avviare il payload.
Con la terza tecnica, il payload del ransomware viene copiato su un controller di dominio AD e distribuito ai sistemi di destinazione utilizzando l’oggetto Criteri di gruppo del dominio predefinito.
Il ransomware, dotato di privilegi amministrativi, ha quindi crittografato i file se corrispondevano a un elenco di estensioni. Ha anche evitato di crittografare i file nelle directory Windows e ProgramDataWindows.
Ci sono, secondo Microsoft, dei passaggi che possono essere presi ora, incluso il blocco delle creazioni di processi provenienti da PSExec e dal comando WMI, per fermare questo tipo di movimento laterale. Si consiglia inoltre di abilitare la protezione antimanomissione per impedire al malware di interferire con Microsoft Defender e di attivare la protezione cloud in Defender Antivirus o strumenti antivirus concorrenti. ®