Napastnicy zaatakowali szeroki zakres systemów w ciągu godziny we wtorek 11 października, poinformował Microsoft, dodając, że jego analitycy nie zdołali powiązać ataków z żadną znaną grupą. Nowo odkryte ransomware nazwano „Prestige”.

Nowo odkryta grupa hakerska zaatakowała firmy transportowe i logistyczne na Ukrainie i w Polsce za pomocą nowatorskiego rodzaju oprogramowania ransomware. Co ciekawe, eksperci stwierdzili jednak, że ataki te ściśle odzwierciedlają wcześniejsze ataki zespołu cybernetycznego powiązanego z rosyjskim rządem, który zakłócił pracę agencji rządowych na Ukrainie.

Zobacz również:

• Co trzecia firma w Polsce z cyberincydentem
• Microsoft zapowiada nową linię małych modeli językowych AI

Według Microsoft, lista ofiar nowego ransomware pokrywa się z ofiarami innego cyberataku polegającego na niszczeniu danych, w którym brało udział złośliwe oprogramowanie „FoxLoad” lub „HermeticWiper” (chodzi o ataki na infrastrukturę Ukrainy, Łotwy i Litwy skorelowane czasowo z początkiem fizycznej inwazji Rosji na Ukrainę).

Jednakże, pomimo wykorzystania podobnych technik wdrażania, kampania różni się od ostatnich destrukcyjnych ataków wykorzystujących AprilAxe (ArguePatch)/CaddyWiper lub Foxblade (HermeticWiper).

We wszystkich zaobserwowanych wdrożeniach, napastnik uzyskał już dostęp do wysoko uprzywilejowanych danych uwierzytelniających, takich jak administrator domeny, aby ułatwić wdrożenie ransomware. Początkowy wektor dostępu nie został w tej chwili zidentyfikowany, ale w niektórych przypadkach możliwe jest, że napastnik mógł mieć już dostęp do wysoko uprzywilejowanych danych uwierzytelniających z wcześniejszego ataku, czytamy na blogu Microsoft. Aktywność „Prestige” nie była powiązana z żadną z 94 obecnie aktywnych grup aktywności ransomware, które śledzi Microsoft.

Źródło: Microsoft