.
Organizações atingidas anteriormente pelo malware HermeticWiper foram ameaçadas por ransomware lançado este mês contra os setores de transporte e logística na Ucrânia e na Polônia.
Embora haja uma sobreposição de vítimas, não está claro se este ransomware Prestige e HermeticWiper são controlados pelos mesmos mentores, de acordo com pesquisadores do Microsoft Threat Intelligence Center (MSTIC).
“Apesar de usar técnicas de implantação semelhantes, o [Prestige] A campanha é distinta dos recentes ataques destrutivos que alavancaram AprilAxe (ArguePatch)/CaddyWiper ou Foxblade (HermeticWiper) que impactaram várias organizações de infraestrutura crítica na Ucrânia nas últimas duas semanas”, escreveram os pesquisadores em um postagem do blog. “A MSTIC ainda não vinculou esta campanha de ransomware a um grupo de ameaças conhecido e continua as investigações”.
A equipe da Microsoft está rastreando Prestige como DEV-0960. O MSTIC usa o rótulo DEV para ameaças emergentes cuja identidade dos invasores ainda não foi determinada.
O Prestige – assim chamado porque se autodenomina “Prestige ranusomeware” em demandas deixadas em PCs Windows infectados – foi visto visando organizações com uma hora de diferença em 11 de outubro, usando três métodos de implantação.
HermeticWiper, como o nome sugere, foi projetado para apagar o computador Windows de uma vítima uma vez rodando nele, e acredita-se que seus criadores e mestres estejam vinculados ou alinhados ao Kremlin: primeiro atingiu a Ucrânia um dia antes da invasão da Rússia. O malware de limpeza de disco aumentou desde que a guerra de Putin contra a Ucrânia começou em fevereiro.
“O cenário de ameaças na Ucrânia continua a evoluir, e os limpadores e ataques destrutivos têm sido um tema consistente”, observou a equipe do MSTIC. “Os ataques de ransomware e de limpeza dependem de muitas das mesmas fraquezas de segurança para serem bem-sucedidos.”
Ainda não está claro como as redes das vítimas foram comprometidas pelos extorsionários para executar seu malware de embaralhamento de arquivos. Antes de os invasores implantarem o Prestige, no entanto, dizia-se que eles controlavam os sistemas por meio de duas ferramentas de execução remota, o RemoteExec, disponível comercialmente, e o Impacket WMIexec, de código aberto.
Além disso, eles usaram três ferramentas contra algumas vítimas para aumentar os privilégios uma vez dentro de uma rede. Isso inclui winPEAS, que é uma coleção de scripts de código aberto para escalonamento de privilégios em sistemas Windows, e comsvcs.dll para despejar a memória do processo do Serviço de Subsistema de Autoridade de Segurança Local do sistema operacional para roubar credenciais.
A terceira ferramenta – ntdsutil.exe – é usada para fazer backup do banco de dados do Active Directory (AD), do qual as credenciais podem ser coletadas.
Depois disso, o ransomware foi implantado. Em cada caso, os invasores obtiveram acesso a credenciais altamente privilegiadas, incluindo Admin de Domínio, para divulgar seu código de criptografia de documentos.
A maioria dos operadores de ransomware tende a usar uma abordagem consistente para cada vítima, a menos que uma configuração de segurança force uma mudança de plano. No entanto, no caso do Prestige, o método utilizado variou de alvo para alvo.
“Isso é especialmente notável, pois todas as implantações de ransomware ocorreram em uma hora”, escreveram os pesquisadores.
Em dois métodos de infecção, a carga útil do ransomware é copiada para o compartilhamento ADMIN$ de um sistema remoto. Em seguida, em um, o Impacket cria uma tarefa agendada do Windows no sistema da vítima para executar a carga útil. No outro método, o Impacket é usado para invocar remotamente um comando codificado do PowerShell no sistema para iniciar a carga.
Com a terceira técnica, a carga útil do ransomware é copiada para um controlador de domínio AD e implantada em sistemas direcionados usando o objeto de política de grupo de domínio padrão.
O ransomware, armado com privilégios administrativos, criptografava os arquivos se correspondessem a uma lista de extensões. Também evitou criptografar arquivos nos diretórios Windows e ProgramDataWindows.
Existem, segundo a Microsoft, medidas que podem ser tomadas agora, incluindo o bloqueio de criações de processos provenientes do comando PSExec e WMI, para interromper esse tipo de movimento lateral. Habilitar a proteção contra adulteração para impedir que malware interfira no Microsoft Defender e ativar a proteção de nuvem no Defender Antivirus ou em ferramentas antivírus concorrentes também é recomendado. ®
.
