Il Microsoft Threat Intelligence Center (MSTIC) ha scoperto una nuova campagna ransomware contro aziende che operano nel settore dei trasporti e della logistica in Ucraina e Polonia. Gli attacchi sono stati effettuati con Prestige a partire dallo scorso 11 ottobre. Gli autori non sono stati ancora identificati, quindi Microsoft ha scelto il nome provvisorio DEV-0960.
Prestige: dettagli sul nuovo ransomware
Prima di distribuire il ransomware, i cybercriminali utilizzano vari tool per effettuare un’escalation di privilegi e il furto delle credenziali di amministratore. Microsoft ha scoperto tre metodi utilizzati per installare il malware sui computer delle vittime. Il primo prevede la copia di Prestige nella condivisione ADMIN$ e l’uso di Impacket WMIexec per creare un’attività pianificata che esegue il ransomware.
Il secondo metodo è simile, ma Impacket WMIexec viene usato per invocare un comando PowerShell che esegue il ransomware. L’ultimo metodo prevede la copia di Prestige in un Active Directory Domain Controller e l’esecuzione tramite un criterio di gruppo. Il malware inizia quindi a cifrare i file con una specifica estensione (viene aggiunta una seconda estensione .enc
) e cancella tutte le copie shadow. Quando l’utente esegue un file cifrato, Notepad visualizza il file di testo con le istruzioni da seguire per acquistare il decryptor.
Dato che l’intrusione nei sistemi avviene con i privilegi di amministratore, Microsoft consiglia innanzitutto di usare password robuste e attivare l’autenticazione multi-fattore. È preferibile inoltre disattivare l’esecuzione dei processi creati tramite PsExec e WMI. Infine deve essere utilizzata una soluzione di sicurezza con protezione cloud.