Bezpieczeństwo

Ransomware Prestige uderzył w polski transport. Jak wygląda wojna cybernetyczna?

przeczytasz w 2 min.

Na celowniku hakerów wykorzystujących nowy rodzaj oprogramowania ransomware Prestige znalazła się infrastruktura informatyczna polskich i ukraińskich firm transportowych. Atak paraliżuje systemy odpowiedzialne za logistykę, a ofiary otrzymują żądanie okupu.

Ransomware Prestige został zidentyfikowany przez MSTIC (Centrum analizy zagrożeń firmy Microsoft):

Według ekspertów cyberbezpieczeństwa 11 października 2022 roku doszło do wdrożenia nowego rodzaju złośliwego oprogramowania ransomware. Jest to pierwsza seria incydentów, które łączy notatka z żądaniem okupu oraz cel. Ofiarami infekcji dokonanej przez ransomware Prestige są polskie i ukraińskie firmy transportowe. Niezależnie od ścieżk ataku, paraliżowana jest infrastruktura informatyczna odpowiedzialną za logistykę.

Jak atakuje ransomware Prestige?

We wszystkich zaobserwowanych infekcjach ransomware Prestige, atakujący w nieznany sposób uzyskał dostęp do uprawnień administratora. Mogło do tego dochodzić na skutek wcześniejszych włamań, być może w powiązanej infrastrukturze.

Metody wdrażania złośliwego oprogramowania były odmienne, prawdopodobnie z powodu różnic w architekturze atakowanej infrastruktury. Nie jest obecnie jasne co było kwestią decydującą o wyborze strategii infekcji, ale eksperci Microsoftu wykluczyli zależność od rodzaju stosowanych zabezpieczeń.

Pozostałe etapy zaobserwowanych włamań są identyczne w przypadku wszystkich incydentów. Po umieszczeniu ładunku ransomware dochodziło do próby zatrzymania usługi MSSQL Windows. Prestige tworzył też notatkę z żądaniem okupu, która zapisywana była w katalogach głównych każdego dysku:

notatka z żądaniem okupuNotatka umieszczana w katalogach infekowanych przz ransomware Prestige systemów informatycznych. Żródłó: MSTIC

W następnym kroku ransomware przeszukiwał pliki w poszukiwaniu konkretnych rozszerzeń i szyfrował ich zawartość. W ten sposób katalogi pozostawały bez zmian, ale dostęp do poszczególnych plików przestawał być możliwy. Każdy zaszyfrowany plik był następnie wyposażony w rozszerzenie .enc

Prestige pozwalał w ten sposób na działanie niestandardowego programu obsługi rozszerzeń. To dzięki niemu próba otworzenia pliku przekierowywała użytkownika do notatki z żądaniem okupu. Ransomware dbał także o usunięcie kopii zapasowych oraz wyczyszczenie danych tymczasowych.

Kto dokonuje ataku z wykorzystaniem ransomware Prestige?

MSTIC nie powiązała jeszcze kampanii ransomware Prestige z żadnym spośród 94 dotychczas śledzonych zagrożeń. Istnieją jednak przesłanki po temu, że ataki ransomware Prestige są elementem rosyjskiej wojny cybernetycznej.

Wskazuje na to

  • wiktymologia

Ataki następowały co godzinę i za każdym razem celem była infrastruktura, której uszkodzenie paraliżuje transport we wrażliwym rejonie świata.

  • podobieństwo metod wdrażania

Scenariusz ataku jest podobny do infekcji dokonywanych przez oprogramowanie FoxBlade (znane również jako HermeticWiper). W ten sposób od ponad dwóch tygodni Rosjanie prześladują ukraińskie systemy informatyczne odpowiedzialne za kluczową infrastrukturę tego państwa.  

Źródło: MSTIC

Komentarze

6
Zaloguj się, aby skomentować
avatar
Komentowanie dostępne jest tylko dla zarejestrowanych użytkowników serwisu.
  • avatar
    JanuczekSzopen
    -5
    Mam do ciebie pytanko. Czy chciałbyś zarobic nawet 100 milionow$? Na pewno tak! Pozwól ze się przedstawię najpierw! Oto jestem ja Jan Szopen światowej sławy ekspert rynku kryptowalut, wielki autorytet co potwierdzają dziesiątki najbardziej prestiżowy h nagrod rynkowych! Tylko na handlu kryptowalutami zarobilzym jiz 125 milionów$ stając się jednym z najbogatszych ludzi s Polsce!
    Tak odpowiedz brzmi kryptowaluty! Kryptowaluty Aa droga do sukcesu, nazywane złotem XXI wieku! Kryptowaluty z każdego robią multikionera!
    Mam dla ciebie propozycje nie di odrzucenia! Zarejesteujnsie w aplikacji Crypto com na telefonie i skorzystają z mojego kodu polecajacego a dostaniesz ode mnie az 25$ w kryptowalucie cro na pierwsze inwestycje!!
    To pewna kasa za darmochę ode mnie dla ciebie!! A oto upoważnienie moje! Upoważniam firmę Crypto Com do obciążenia mojego rachunku w cro aby każdy kto wykorzysta mój kod dostał 25$ w cro! Podpisano Jan Szopen!
    Wykorzystaj ten kod i kup pierwsze kryptowaluty już dzis i dołącz do nas ludzi obrzydliwie bogatych!!!
    Janjuz mam wszystko! Wielka posiadłość z pięcioma podgrzewanymi basenami, cztery najdroższe elektryczne Tesle, piec najdroższych telewizorów 8K, dobkazddgo z nich kina domowe 1000 Wa!t
    A wokół mnie najpiękniejsze kobiety z całego świata z którymi się zabawiam codziennie!
    Ty tez morzesz żyć jaknkrol!!!! Tylko wykorzystaj
    mój kod!!!! Jak najszybciej!! !!’nnb n!!!!!!! Oto mój kod!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
    jjey2xxs9c
    • avatar
      pawluto
      -5
      Wal sie na ryj z tą reklamą...
      • avatar
        Marucins
        0
        Czyżby przedsmak idącej wojny?
        • avatar
          FunkyKoval
          0

          Witaj!

          Niedługo wyłaczymy stare logowanie.
          Logowanie będzie możliwe tylko przez 1Login.

          Połącz konto już teraz.

          Zaloguj przez 1Login