Nowe ransomware: Prestige atakuje Polskę i Ukrainę

Zespół MSTIC z Microsoftu zidentyfikował nową kampanię ransomware uderzającą w przedsiębiorstwa i organizacje zajmujące się transportem oraz logistyką w Polsce i na Ukrainie. Nowa rodzina ransomware przedstawia się samodzielnie jako “Prestige ranusomeware” (specjalnie z literówką) i została uruchomiona w formie kampanii od 11 października atakując w/w. firmy z przerwami na eskalację co godzinę. Z racji, że zagrożenie nie zostało jeszcze w pełni rozpoznane, tzn. jaka grupa APT stoi za jego wypuszczeniem to Microsoft określił zagrożenie pod nazwą kodową DEV-0960.

Zaobserwowana aktywność oprogramowania

Przed wstrzyknięciem ransomware, aktywość DEV-0960 obejmowała użycie dwóch narzędzi wykonania zdalnego: RemoteExec oraz Impacket WMIexec. W celu uzyskania uprawnień oraz wydobycia pozostałych kont, Prestige wykorzystuje następujące narzędzia: winPEAS (eskalacja uprawnień), comsvcs.dll (zrzut pamieci LSASS do wykradania danych uwierzytelniania), ntdsutil.exe (narzędzie m.in. do backupu struktury Active Directory).

Sposób infekowania

We wszystkich przypadkach sprawdzonych przez badaczy z zespołu, haker posiadał już wysokie uprawnienia np. do konta z grupy Domain Admins. Wstępny wektor ataku uzyskania dostępu nie został jeszcze zidentyfikowany, ale najbardziej prawdopodobny jest scenariusz z uzyskaniem dostępu wcześniej, poprzez inny atak. Wyróżniono trzy metody wywołania infekcji:

1. Metoda 1: Ładunek ransomware jest kopiowany do zasobu ukrytego ADMIN$, a narzędzie Impacket służy do utworzenia zdalnego zadania w Harmonogramie Zadań wskazując system zdalny jako ten do uruchomienia ładunku.

Rys. 1. Metoda pierwsza infekowania z wykorzystaniem Harmonogramu Zadań, źródło.

2. Metoda 2: Ransomware jest wkopiowywane do zasobu ukrytego ADMIN$, a narzędzie Impacket jest używane by zdalnie wywołać zakodowane komendy PowerShell na systemie ofiary w celu uruchomienia ładunku.

Rys. 2. Metoda druga infekcji z wykorzystaniem skryptu PowerShell, źródło.

3. Metoda 3: Ładunek ransomware jest wkopiowywane do Active Directory Domain Controller i jest uruchamiany za pomocą Default Domain Group Policy Object (GPO).

Rys. 3. Metoda trzecia infekcji z wykorzystaniem polityk GPO, źródło.

Wstępna analiza malware

Prestige wymaga uprawnień administracyjnych aby działać prawidłowo. Podobnie jak wiele innych ładunków, we wstępnej fazie ransomware próbuje zatrzymać usługę MSSQL by zapewnić skuteczne szyfrowanie poprzez wywołanie komendy net.exe stop MSSQLSERVER, a po fazie szyfrowania plik README jest tworzony w ścieżce C:\Users\Public\. Szyfrator poszukuje plików o następujących rozszerzeniach:

Rys. 5. Rozszerzenia podlegające złośliwemu szyfrowaniu, źródło.

Za zaszyfrowaniu każdego pliku, ransomware dodaje rozszerzenie *.enc do aktualnego rozszerzenia pliku. Następnie infekcja sama tworzy w Rejestrze Systemu wpis rejestrujący w/w. rozszerzenie do otwarcia pliku README.

reg.exe add HKCR\.enc /ve /t REG_SZ /d enc /f

reg.exe add HKCR\enc\shell\open\command /ve /t REG_SZ /d “C:\Windows\Notepad.exe C:\Users\Public\README

Do agresywnego szyfrowania AES wykorzystywana jest biblioteka CryptoPP C++ z wykorzystaniem klucza publicznego RSA X509 (rys. 6)

Rys. 6. Klucz publiczny wykorzystywany w szyfrowaniu, źródło.

W celu braku możliwości przywrócenia struktury z backupu, Prestige usuwa także kopie zapasowe:

wbadmin.exe delete catalog -quiet

vssadmin.exe delete shadows /all /quiet

Zalecamy sprawdzenie własnej infrastruktury, wykorzystując np. opisywane przez nas narzędzie Bloodhound. O dalszej możliwej analizie będziemy Was informowali na bieżąco.

~tt