Microsoft ha segnalato che il nuovo ransomware Prestige viene utilizzato in attacchi rivolti a organizzazioni di trasporto e logistica in Ucraina e Polonia. Il ransomware Prestige è apparso per la prima volta nel panorama delle minacce l’11 ottobre, con attacchi che si sono verificati a distanza di un’ora l’uno dall’altro in tutte le vittime. Una caratteristica notevole di questa campagna è che non è comune osservare gli attori delle minacce che tentano di distribuire il ransomware nelle reti delle imprese ucraine. Microsoft ha sottolineato che questa campagna non è collegata a nessuno dei 94 gruppi di attività ransomware attualmente attivi che sta monitorando. La campagna condivide la vittimologia con le recenti operazioni condotte da attori delle minacce legati alla Russia. “L’attività condivide la vittimologia con le recenti attività allineate allo Stato russo, in particolare nelle aree geografiche e nei Paesi colpiti, e si sovrappone alle precedenti vittime del malware FoxBlade (noto anche come HermeticWiper)”, si legge nel rapporto pubblicato dal Microsoft Threat Intelligence Center (MSTIC). HermeticWiper è un wiper distruttivo scoperto a febbraio dai ricercatori delle società di cybersicurezza ESET e Symantec di Broadcom. Il codice maligno è stato impiegato in attacchi che hanno colpito centinaia di macchine in Ucraina.
Prima di distribuire il ransomware nelle reti bersaglio, gli attori delle minacce sono stati osservati mentre utilizzavano le due seguenti utility di esecuzione remota:
- RemoteExec – uno strumento disponibile in commercio per l’esecuzione di codice da remoto senza agente
- Impacket WMIexec – una soluzione open-source basata su script per l’esecuzione di codice remoto.
- DEV-0960 ha poi utilizzato i seguenti strumenti in alcuni attacchi per accedere a credenziali altamente privilegiate:
- winPEAS – una raccolta open-source di script per eseguire l’escalation dei privilegi su Windows
- comsvcs.dll – utilizzato per eseguire il dump della memoria del processo LSASS e rubare le credenziali
- ntdsutil.exe – utilizzato per eseguire il backup del database di Active Directory, probabilmente per utilizzare le credenziali in un secondo momento.
“In tutte le distribuzioni osservate, l’aggressore aveva già ottenuto l’accesso a credenziali altamente privilegiate, come quelle di Domain Admin, per facilitare la distribuzione del ransomware”, prosegue il rapporto. “Al momento non è stato identificato il vettore di accesso iniziale, ma in alcuni casi è possibile che l’aggressore avesse già accesso alle credenziali altamente privilegiate grazie a una precedente compromissione”.
I ricercatori di MSTIC hanno osservato che gli attori della minaccia hanno utilizzato tre metodi per distribuire il ransomware Prestige:
- Metodo 1: il payload del ransomware viene copiato nella condivisione ADMIN$ di un sistema remoto e Impacket viene utilizzato per creare da remoto un’attività pianificata di Windows sui sistemi di destinazione per eseguire il payload.
- Metodo 2: il payload del ransomware viene copiato nella condivisione ADMIN$ di un sistema remoto e Impacket viene utilizzato per invocare da remoto un comando PowerShell codificato sui sistemi di destinazione per eseguire il payload.
- Metodo 3: il payload del ransomware viene copiato in un controller di dominio Active Directory e distribuito ai sistemi utilizzando il comando
Una volta distribuito, il ransomware Prestige rilascia una nota di riscatto denominata “README.txt” nella directory principale di ogni unità che cripta. Prestige utilizza la libreria CryptoPP C++ per crittografare AES ogni file ammissibile; per impedire il recupero dei dati, il ransomware elimina il catalogo di backup dal sistema.
Microsoft ha pubblicato un elenco di indicatori di compromissione (IOC) e di query di caccia avanzate per rilevare le infezioni da ransomware Prestige. “Microsoft continuerà a monitorare l’attività di DEV-0960 e a implementare le protezioni per i nostri clienti”, conclude il rapporto.
