La nueva cepa parece estar operando independientemente de todos los grupos de piratería conocidos actualmente en la región. Microsoft advierte que el ransomware «Prestige» se dirige a empresas de Ucrania y Polonia.
Los de Redmond advirtieron sobre una nueva variedad de ransomware, conocida como ‘Prestige’, que parece estar operando independientemente de grupos conocidos para atacar organizaciones en Ucrania y Polonia.
Microsoft Threat Intelligence Center (MSTIC) identificó por primera vez el nuevo ransomware el 11 de octubre. Lo hizo en ataques a empresas dentro de la industria del transporte y la logística, todos con una hora de diferencia. En sus notas de rescate, el malware se identifica simplemente como ‘Prestige ranusomware».
A diferencia de otras campañas de ransomware dirigidas al gobierno y los servicios públicos de Ucrania, Prestige parece estar dirigida solo a empresas. El actor de amenazas detrás del ransomware aún no ha sido identificado, pero Microsoft ha notado similitudes entre sus operaciones y las de los actores de amenazas patrocinados por el estado ruso. Esto incluye un grupo compartido de víctimas con la cepa de malware HermeticWiper.
Microsoft advierte que el ransomware «Prestige» se dirige a empresas de Ucrania y Polonia
Se están investigando vectores de ataque específicos para Prestige. Sin embargo, en todos los casos observados hasta ahora, sus operadores ya tenían credenciales privilegiadas dentro de la red de sus víctimas.
En los ataques, se utilizaron tres metodologías distintas para implementar Prestige. En el primero, su carga útil se copió en el recurso compartido ADMIN$ de un sistema y se ejecutó de forma remota a través de una tarea programada de Windows usando Impacket.
El segundo fue en gran medida similar, excepto por el uso de un comando de PowerShell para ejecutar la carga útil. El tercero vio la carga útil copiada en un controlador de dominio de Active Directory, que luego implementó automáticamente el ransomware en los sistemas conectados.
En su publicación de blog sobre el descubrimiento, Microsoft publicó una clave pública RSA X509 codificada que se usa para cifrar cada uno de los archivos afectados. Es probable que cada versión de Prestige venga con su propia clave individual, pero esto aún no ha sido confirmado.
Antes del cifrado, Prestige aprovecha el control sobre el directorio System32 de la víctima para eliminar las funciones asociadas con la redirección de archivos. Después, elimina el catálogo de copias de seguridad del sistema y todas las instantáneas de volumen. Esto son copias de seguridad e instantáneas de archivos en un sistema que Windows genera automáticamente para proteger los datos.
Como es el caso con la mayoría de ransomware, se crea un archivo de texto en el dispositivo de la víctima en la ruta C:\Users\Public\README . Este contiene una advertencia para no intentar recuperar datos perdidos e instrucciones sobre cómo pagar a los actores de amenazas por los archivos. ser devuelto. Todos los datos cifrados se adjuntan con la extensión ‘.enc’. Esta se registra bajo un controlador de extensión de archivo personalizado para que, si se abre algún archivo, se abra la nota de rescate. Las extensiones de archivo personalizadas también se han utilizado en ransomware como Gwisin. Este se ha encontrado atacando a compañías farmacéuticas en Corea del Sur.