-15% na nową książkę sekuraka: Wprowadzenie do bezpieczeństwa IT. Przy zamówieniu podaj kod: 10000

Nowe ransomware: Prestige atakuje Polskę i Ukrainę

15 października 2022, 02:40 | W biegu | komentarzy 5

Zespół MSTIC z Microsoftu zidentyfikował nową kampanię ransomware uderzającą w przedsiębiorstwa i organizacje zajmujące się transportem oraz logistyką w Polsce i na Ukrainie. Nowa rodzina ransomware przedstawia się samodzielnie jako “Prestige ranusomeware” (specjalnie z literówką) i została uruchomiona w formie kampanii od 11 października atakując w/w. firmy z przerwami na eskalację co godzinę. Z racji, że zagrożenie nie zostało jeszcze w pełni rozpoznane, tzn. jaka grupa APT stoi za jego wypuszczeniem to Microsoft określił zagrożenie pod nazwą kodową DEV-0960.

Zaobserwowana aktywność oprogramowania

Przed wstrzyknięciem ransomware, aktywość DEV-0960 obejmowała użycie dwóch narzędzi wykonania zdalnego: RemoteExec oraz Impacket WMIexec. W celu uzyskania uprawnień oraz wydobycia pozostałych kont, Prestige wykorzystuje następujące narzędzia: winPEAS (eskalacja uprawnień), comsvcs.dll (zrzut pamieci LSASS do wykradania danych uwierzytelniania), ntdsutil.exe (narzędzie m.in. do backupu struktury Active Directory).

Sposób infekowania

We wszystkich przypadkach sprawdzonych przez badaczy z zespołu, haker posiadał już wysokie uprawnienia np. do konta z grupy Domain Admins. Wstępny wektor ataku uzyskania dostępu nie został jeszcze zidentyfikowany, ale najbardziej prawdopodobny jest scenariusz z uzyskaniem dostępu wcześniej, poprzez inny atak. Wyróżniono trzy metody wywołania infekcji:

  1. Metoda 1: Ładunek ransomware jest kopiowany do zasobu ukrytego ADMIN$, a narzędzie Impacket służy do utworzenia zdalnego zadania w Harmonogramie Zadań wskazując system zdalny jako ten do uruchomienia ładunku.

Rys. 1. Metoda pierwsza infekowania z wykorzystaniem Harmonogramu Zadań, źródło.

  1. Metoda 2: Ransomware jest wkopiowywane do zasobu ukrytego ADMIN$, a narzędzie Impacket jest używane by zdalnie wywołać zakodowane komendy PowerShell na systemie ofiary w celu uruchomienia ładunku.

Rys. 2. Metoda druga infekcji z wykorzystaniem skryptu PowerShell, źródło.

  1. Metoda 3: Ładunek ransomware jest wkopiowywane do Active Directory Domain Controller i jest uruchamiany za pomocą Default Domain Group Policy Object (GPO).

Rys. 3. Metoda trzecia infekcji z wykorzystaniem polityk GPO, źródło.

Wstępna analiza malware

Prestige wymaga uprawnień administracyjnych aby działać prawidłowo. Podobnie jak wiele innych ładunków, we wstępnej fazie ransomware próbuje zatrzymać usługę MSSQL by zapewnić skuteczne szyfrowanie poprzez wywołanie komendy net.exe stop MSSQLSERVER, a po fazie szyfrowania plik README jest tworzony w ścieżce C:\Users\Public\. Szyfrator poszukuje plików o następujących rozszerzeniach:

Rys. 5. Rozszerzenia podlegające złośliwemu szyfrowaniu, źródło.

Za zaszyfrowaniu każdego pliku, ransomware dodaje rozszerzenie *.enc do aktualnego rozszerzenia pliku. Następnie infekcja sama tworzy w Rejestrze Systemu wpis rejestrujący w/w. rozszerzenie do otwarcia pliku README.

reg.exe add HKCR\.enc /ve /t REG_SZ /d enc /f
reg.exe add HKCR\enc\shell\open\command /ve /t REG_SZ /d “C:\Windows\Notepad.exe C:\Users\Public\README

Do agresywnego szyfrowania AES wykorzystywana jest biblioteka CryptoPP C++ z wykorzystaniem klucza publicznego RSA X509 (rys. 6)

Screenshot of a public key.

Rys. 6. Klucz publiczny wykorzystywany w szyfrowaniu, źródło.

W celu braku możliwości przywrócenia struktury z backupu, Prestige usuwa także kopie zapasowe:

wbadmin.exe delete catalog -quiet
vssadmin.exe delete shadows /all /quiet

Zalecamy sprawdzenie własnej infrastruktury, wykorzystując np. opisywane przez nas narzędzie Bloodhound. O dalszej możliwej analizie będziemy Was informowali na bieżąco.

~tt

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Kłamstwo

    Nic takiego nie zaobserwowałem, właściwie nie doświadczyłem żadnych ataków od 2001 roku.
    Sądzę że to kłamstwo, a Mikrosoft chce znowu sprzedać jakieś rozwiązanie bezpieczeństwa na problemy które sam stworzył. To trochę jak z patyczkami do uszu, kiedy ludzie zniszczy sobie już uszy to teraz sprzedają im akustone :| (czy jak to się tam nazywa)

    Odpowiedz
  2. Ten artykuł powinien raczej trafić do działu 《awareness》 niż《w biegu》. Tym bardziej że jest tu dość sporo znanych rozszerzeń plików.

    Odpowiedz
  3. Paweł

    I tak sie żyje powoli w tej cyberprzestrzeni. Od ataku do ataku xd

    Odpowiedz
  4. Kuba

    Mnie dziwi tylko te zdanie:

    Do agresywnego szyfrowania AES wykorzystywana jest biblioteka CryptoPP C++ z wykorzystaniem klucza publicznego RSA X509 (rys. 6)

    w oryginale tez występuje.

    Trochę się to nie klei

    AES – symetryczy , RSA – asymetryczny

    Chyba ze haslo do AES szyfruja RSA:)

    Odpowiedz
    • Tomasz Turba

      No sam klucz w standardzie X.509 jest w podpisany RSA (tbsSignature), a szyfrowanie plików przebiega za pomocą AES, więc tak może być jak piszesz.

      Odpowiedz

Odpowiedz na Kuba