Il Microsoft Threat Intelligence Center (MSTIC) ha scoperto una nuova campagna di ransomware rivolta alle organizzazioni nei settori dei trasporti e della logistica in Ucraina e Polonia. Il ransomware è stato distribuito l’11 ottobre in attacchi che si sono verificati entro un’ora l’uno dall’altro su tutte le vittime.
Nella sua richiesta di riscatto è stato etichettato come “Prestige ransomware”. Microsoft non ha ancora identificato i threat actors dietro la minaccia, pertanto sta monitorando questa attività come DEV-0960.
La campagna presenta diverse caratteristiche che la differenziano da altre campagne di ransomware monitorate da Microsoft:
- La distribuzione di ransomware a livello aziendale non è comune in Ucraina e questa attività non era collegata a nessuno dei 94 gruppi di attività ransomware attualmente attivi di cui Microsoft tiene traccia
- Il ransomware Prestige non era stato osservato da Microsoft prima di questa distribuzione
- L’attività condivide la vittimologia con la recente attività allineata allo stato russo, in particolare sulle aree geografiche e sui paesi interessati, e si sovrappone alle precedenti vittime del malware FoxBlade (noto anche come HermeticWiper).
Nonostante l’utilizzo di tecniche di distribuzione simili, la campagna è distinta dai recenti attacchi distruttivi che sfruttano AprilAxe (ArguePatch)/CaddyWiper o Foxblade (HermeticWiper) che hanno avuto un impatto su più organizzazioni di infrastrutture critiche in Ucraina nelle ultime due settimane.
Prima di distribuire il ransomware, i threat actor utilizzano RemoteExec (un tool disponibile in commercio per l’esecuzione di codice remoto) e Impacket WMIexec (una soluzione basata su script open source per l’esecuzione di codice in modalità remota).
Per ottenere l’accesso a credenziali con privilegi elevati, in alcuni ambienti, DEV-0960 ha utilizzato i seguenti tool per l’escalation dei privilegi e l’estrazione delle credenziali:
- winPEAS – una raccolta open source di script per eseguire l’escalation dei privilegi su Windows
- comsvcs.dll – utilizzato per eseguire il dump della memoria del processo LSASS e rubare le credenziali
- ntdsutil.exe – utilizzato per eseguire il backup del database di Active Directory, probabilmente per un uso successivo delle credenziali.
In tutte le implementazioni osservate dagli esperti, l’attaccante aveva già ottenuto l’accesso a credenziali altamente privilegiate, come Domain Admin, per facilitare la distribuzione del ransomware. Al momento, il vettore di accesso iniziale non è stato identificato, ma in alcuni casi è possibile che l’autore dell’attacco abbia già avuto accesso esistente alle credenziali con privilegi elevati da una precedente compromissione. In questi casi, la sequenza temporale dell’attacco inizia con l’attaccante che dispone già dell’accesso a livello di amministratore di dominio e mette in scena il payload del ransomware.
I metodi utilizzati per distribuire il ransomware variavano negli ambienti delle vittime, ma non sembra essere dovuto a configurazioni di sicurezza che impediscono all’attaccante di utilizzare le stesse tecniche. Ciò è particolarmente degno di nota – spiega Microsoft – in quanto tutte le distribuzioni del ransomware sono avvenute entro un’ora.
Microsoft ha identificato tre metodi distinti per distribuire il ransomware. Il primo prevede la copia di Prestige nella condivisione ADMIN$ di un sistema remoto e l’utilizzo di Impacket per creare in remoto un’attività pianificata di Windows sui sistemi di destinazione per eseguire il payload.
Il secondo metodo prevede sempre la copia del ransomware nella condivisione ADMIN$ di un sistema remoto ma Impacket viene utilizzato per richiamare in remoto un comando PowerShell codificato sui sistemi di destinazione per eseguire il payload. Il terzo e ultimo metodo prevede la copia del ransomware su un Active Directory Domain Controller e la distribuzione ai sistemi utilizzando un criterio di gruppo di default.
Una volta distribuito, il ransomware Prestige rilascia una richiesta di riscatto denominata “README.txt” nella directory principale di ciascuna unità crittografata.
Prestige utilizza la libreria CryptoPP C++ per crittografare AES ogni file idoneo. Per impedire il ripristino dei dati, il ransomware elimina il catalogo di backup dal sistema.
Microsoft ha pubblicato un elenco di indicatori di compromissione (IOC) per rilevare le infezioni da ransomware Prestige.
“Microsoft continuerà a monitorare l’attività di DEV-0960 e ad implementare le protezioni per i nostri clienti”, conclude la relazione.
https://securityaffairs.co/wordpress/137203/apt/prestige-ransomware-targets-ukraine.html
