Центр разведки угроз Microsoft (MSTIC) обнаружил свидетельства новой кампании по распространению вымогательского ПО, направленной на организации логистической и транспортной отрасли в Украине и Польше и использующей ранее не идентифицированную полезную нагрузку ransomware.
MSTIC обнаружили, что эта новая программа-вымогатель, обозначенная в примечании к выкупу как "Prestige ranusomeware", была развернута 11 октября в атаках, произошедших в течение часа друг с другом на всех жертв.
У этой кампании было несколько особенностей, которые отличают ее от других отслеживаемых Microsoft кампаний по распространению вымогательского ПО:
- Распространение ransomware в масштабах предприятия не является типичным для Украины, и эта активность не была связана ни с одной из 94 активных в настоящее время групп активности ransomware, отслеживаемых Microsoft.
- Программа Prestige ransomware не была замечена Microsoft до этого развертывания.
- Эта активность имеет общую виктимологию с недавней деятельностью российских государственных структур, в частности, в затронутых регионах и странах, и пересекается с предыдущими жертвами вредоносного ПО FoxBlade (также известного как HermeticWiper).
Несмотря на использование схожих методов развертывания, эта кампания отличается от недавних разрушительных атак с использованием AprilAxe (ArguePatch)/CaddyWiper или Foxblade (HermeticWiper), которые за последние две недели поразили множество организаций критической инфраструктуры в Украине. MSTIC пока не связал эту кампанию по распространению вымогательского ПО с известной угрожающей группой и продолжает расследование. MSTIC отслеживает эту активность как DEV-0960.
Indicators of Compromise
MD5
- a32bbc5df4195de63ea06feb46cd6b55
SHA256
- 5dd1ca0d471dee41eb3ea0b6ea117810f228354fc3b7b47400a812573d40d91d
- 5fc44c7342b84f50f24758e39c8848b2f0991e8817ef5465844f5f2ff6085a57
- 6cff0bbd62efe99f381e5cc0c4182b0fb7a9a34e4be9ce68ee6b0d0ea3eee39c