Ransomware Prestige uderzył w polski transport. Jak wygląda wojna cybernetyczna?
Na celowniku hakerów wykorzystujących nowy rodzaj oprogramowania ransomware Prestige znalazła się infrastruktura informatyczna polskich i ukraińskich firm transportowych. Atak paraliżuje systemy odpowiedzialne za logistykę, a ofiary otrzymują żądanie okupu.
Ransomware Prestige został zidentyfikowany przez MSTIC (Centrum analizy zagrożeń firmy Microsoft):
Według ekspertów cyberbezpieczeństwa 11 października 2022 roku doszło do wdrożenia nowego rodzaju złośliwego oprogramowania ransomware. Jest to pierwsza seria incydentów, które łączy notatka z żądaniem okupu oraz cel. Ofiarami infekcji dokonanej przez ransomware Prestige są polskie i ukraińskie firmy transportowe. Niezależnie od ścieżk ataku, paraliżowana jest infrastruktura informatyczna odpowiedzialną za logistykę.
Jak atakuje ransomware Prestige?
We wszystkich zaobserwowanych infekcjach ransomware Prestige, atakujący w nieznany sposób uzyskał dostęp do uprawnień administratora. Mogło do tego dochodzić na skutek wcześniejszych włamań, być może w powiązanej infrastrukturze.
Metody wdrażania złośliwego oprogramowania były odmienne, prawdopodobnie z powodu różnic w architekturze atakowanej infrastruktury. Nie jest obecnie jasne co było kwestią decydującą o wyborze strategii infekcji, ale eksperci Microsoftu wykluczyli zależność od rodzaju stosowanych zabezpieczeń.
Pozostałe etapy zaobserwowanych włamań są identyczne w przypadku wszystkich incydentów. Po umieszczeniu ładunku ransomware dochodziło do próby zatrzymania usługi MSSQL Windows. Prestige tworzył też notatkę z żądaniem okupu, która zapisywana była w katalogach głównych każdego dysku:
W następnym kroku ransomware przeszukiwał pliki w poszukiwaniu konkretnych rozszerzeń i szyfrował ich zawartość. W ten sposób katalogi pozostawały bez zmian, ale dostęp do poszczególnych plików przestawał być możliwy. Każdy zaszyfrowany plik był następnie wyposażony w rozszerzenie .enc
Prestige pozwalał w ten sposób na działanie niestandardowego programu obsługi rozszerzeń. To dzięki niemu próba otworzenia pliku przekierowywała użytkownika do notatki z żądaniem okupu. Ransomware dbał także o usunięcie kopii zapasowych oraz wyczyszczenie danych tymczasowych.
Kto dokonuje ataku z wykorzystaniem ransomware Prestige?
MSTIC nie powiązała jeszcze kampanii ransomware Prestige z żadnym spośród 94 dotychczas śledzonych zagrożeń. Istnieją jednak przesłanki po temu, że ataki ransomware Prestige są elementem rosyjskiej wojny cybernetycznej.
Wskazuje na to
- wiktymologia
Ataki następowały co godzinę i za każdym razem celem była infrastruktura, której uszkodzenie paraliżuje transport we wrażliwym rejonie świata.
- podobieństwo metod wdrażania
Scenariusz ataku jest podobny do infekcji dokonywanych przez oprogramowanie FoxBlade (znane również jako HermeticWiper). W ten sposób od ponad dwóch tygodni Rosjanie prześladują ukraińskie systemy informatyczne odpowiedzialne za kluczową infrastrukturę tego państwa.
Źródło: MSTIC
