Microsoft: prestige ransomware treft organisaties in Oekraïne en Polen
Het Microsoft Threat Intelligence Center (MSTIC) heeft bewijs gevonden van een nieuwe ransomware-campagne gericht op organisaties in de transport- en aanverwante logistieke sector in Oekraïne en Polen, waarbij gebruik werd gemaakt van een voorheen niet-geïdentificeerde ransomware-payload.
Microsoft meldt: :We zagen dat deze nieuwe ransomware, die zichzelf in zijn losgeldbrief bestempelt als "Prestige ranusomeware", op 11 oktober werd ingezet bij aanvallen die binnen een uur na elkaar plaatsvonden bij alle slachtoffers.
Deze campagne had verschillende opvallende kenmerken die hem onderscheiden van andere door Microsoft gevolgde ransomware-campagnes:
De ondernemingsbrede inzet van ransomware is niet gebruikelijk in Oekraïne, en deze activiteit was niet verbonden met een van de 94 momenteel actieve ransomware-activiteitengroepen die Microsoft volgt
De Prestige-ransomware was vóór deze implementatie niet door Microsoft waargenomen
De activiteit deelt de victimologie met recente Russische, op de staat afgestemde activiteiten, met name in de getroffen regio's en landen, en overlapt met eerdere slachtoffers van de FoxBlade-malware (ook bekend als HermeticWiper)
Ondanks het gebruik van vergelijkbare implementatietechnieken, onderscheidt de campagne zich van recente destructieve aanvallen met behulp van AprilAxe (ArguePatch)/CaddyWiper of Foxblade (HermeticWiper) die de afgelopen twee weken meerdere kritieke infrastructuurorganisaties in Oekraïne hebben getroffen.
MSTIC heeft deze ransomware-campagne nog niet gekoppeld aan een bekende dreigingsgroep en zet het onderzoek voort. MSTIC volgt deze activiteit als DEV-0960.
Microsoft gebruikt DEV-####-aanduidingen als een tijdelijke naam die wordt gegeven aan een onbekende, opkomende of zich ontwikkelende cluster van bedreigingsactiviteit, waardoor MSTIC deze als een unieke set informatie kan volgen totdat we een hoog vertrouwen hebben over de oorsprong of identiteit van de acteur achter de activiteit. Zodra het aan de criteria voldoet, wordt een DEV geconverteerd naar een benoemde acteur of samengevoegd met bestaande acteurs.
Deze blog is bedoeld om Microsoft-klanten en de grotere beveiligingsgemeenschap bewust te maken van en indicatoren voor compromissen (IOC's). Microsoft blijft dit in de gaten houden en is bezig met het vroegtijdig melden van klanten die getroffen zijn door DEV-0960, maar die nog niet zijn vrijgekocht. MSTIC werkt ook actief samen met de bredere beveiligingsgemeenschap en andere strategische partners om via meerdere kanalen informatie te delen die kan helpen deze zich ontwikkelende dreiging aan te pakken."