神秘勒索软件针对乌克兰和波兰的组织

微软报告说，新的Prestige勒索软件被用于针对乌克兰和波兰的运输和物流组织的袭击。

  “威望”赎金首次出现在10月11日的威胁图景中，发生在所有受害者之间一小时内的袭击。

这一运动的一个显著特点是，威胁行为者试图将赎金部署到乌克兰企业网络的情况并不多见。

微软指出，这场活动与它正在追踪的94个当前活跃的勒索软件活动组没有任何联系。

该运动与与俄罗斯有联系的威胁行为体最近开展的行动共享受害者。

根据微软威胁情报中心( MSTIC )发布的报告，”该活动与俄罗斯最近的国家联盟活动共享受害者，特别是受影响的地理和国家，并与FoxBlade恶意软件(也被称为HermeticWiper)的受害者重叠”。

HermeticWiper是由网络安全公司ESET和Broadcom的赛门铁克的研究人员在二月份发现的一种破坏性的雨刮器。恶意代码被用于攻击乌克兰的数百台机器。

微软注意到，这场运动与最近两周袭击乌克兰几个关键基础设施组织的AprilAxe ( ArguePatch ) / CaddyWiper或Foxblade ( HermeticWiper )的破坏性攻击不同。

  MSTIC还没有将这些袭击归因于一个已知的威胁团体，同时，它正在跟踪DEV – 0960的运动。

在目标网络中部署勒索软件之前，使用以下两个远程执行实用程序观察威胁参与者：

·  RemoteExec ——一个商业可用的无代理远程代码执行工具

·  Impack WMIexec ——一个基于脚本的远程代码执行的开源解决方案

然后DEV-0960在一些攻击中使用了以下工具来访问高度特权的凭据：

·  WinPEAS ——在Windows上执行权限提升的开源脚本集合

·  Comsvcs . dll ——用于转储LSASS进程的内存并窃取凭证

·  Ntdsutil.exe ——用于备份Active Directory数据库，可能用于以后使用凭据

“在所有观察到的部署中，攻击者已经获得了高特权证书的访问权限，如域名管理员，以促进勒索软件的部署。”此时尚未识别初始访问向量，但在某些情况下，攻击者可能已经拥有了从以前的妥协获得的高度特权凭据的现有访问权限。

  MSTIC研究人员使用三种方法观察威胁行为者部署Prestige勒索软件：

·  方法1：将勒索软件有效负载复制到远程系统的ADMIN $ share，并使用Impack在目标系统上远程创建Windows计划任务以执行有效负载

·  方法2：将勒索软件有效负载复制到远程系统的ADMIN $ share，并使用Impack在目标系统上远程调用已编码的PowerShell命令来执行有效负载

·  方法3：将勒索软件负载复制到Active Directory域控制器，并使用默认域组策略对象部署到系统中

一旦部署，Prestige勒索软件会在其加密的每个驱动器的根目录中删除一个名为”读我档案”的勒索票据。

  Prestige使用CryptoPP C + +库对每个符合条件的文件进行AES加密，防止勒索软件从系统中删除备份目录进行数据恢复。

微软发布了妥协指标列表( IOCs )和高级狩猎查询检测Prestige勒索软件感染。

  “微软将继续监控DEV – 0960的活动，并为我们的客户实施保护。”