Ransomware Prestige uderzył w polski transport. Jak wygląda wojna cybernetyczna?

Ransomware Prestige został zidentyfikowany przez MSTIC (Centrum analizy zagrożeń firmy Microsoft):

Według ekspertów cyberbezpieczeństwa 11 października 2022 roku doszło do wdrożenia nowego rodzaju złośliwego oprogramowania ransomware. Jest to pierwsza seria incydentów, które łączy notatka z żądaniem okupu oraz cel. Ofiarami infekcji dokonanej przez ransomware Prestige są polskie i ukraińskie firmy transportowe. Niezależnie od ścieżk ataku, paraliżowana jest infrastruktura informatyczna odpowiedzialną za logistykę.

Jak atakuje ransomware Prestige?

We wszystkich zaobserwowanych infekcjach ransomware Prestige, atakujący w nieznany sposób uzyskał dostęp do uprawnień administratora. Mogło do tego dochodzić na skutek wcześniejszych włamań, być może w powiązanej infrastrukturze.

Metody wdrażania złośliwego oprogramowania były odmienne, prawdopodobnie z powodu różnic w architekturze atakowanej infrastruktury. Nie jest obecnie jasne co było kwestią decydującą o wyborze strategii infekcji, ale eksperci Microsoftu wykluczyli zależność od rodzaju stosowanych zabezpieczeń.

Pozostałe etapy zaobserwowanych włamań są identyczne w przypadku wszystkich incydentów. Po umieszczeniu ładunku ransomware dochodziło do próby zatrzymania usługi MSSQL Windows. Prestige tworzył też notatkę z żądaniem okupu, która zapisywana była w katalogach głównych każdego dysku:

Notatka umieszczana w katalogach infekowanych przz ransomware Prestige systemów informatycznych. Żródłó: MSTIC

W następnym kroku ransomware przeszukiwał pliki w poszukiwaniu konkretnych rozszerzeń i szyfrował ich zawartość. W ten sposób katalogi pozostawały bez zmian, ale dostęp do poszczególnych plików przestawał być możliwy. Każdy zaszyfrowany plik był następnie wyposażony w rozszerzenie .enc

Prestige pozwalał w ten sposób na działanie niestandardowego programu obsługi rozszerzeń. To dzięki niemu próba otworzenia pliku przekierowywała użytkownika do notatki z żądaniem okupu. Ransomware dbał także o usunięcie kopii zapasowych oraz wyczyszczenie danych tymczasowych.

Kto dokonuje ataku z wykorzystaniem ransomware Prestige?

MSTIC nie powiązała jeszcze kampanii ransomware Prestige z żadnym spośród 94 dotychczas śledzonych zagrożeń. Istnieją jednak przesłanki po temu, że ataki ransomware Prestige są elementem rosyjskiej wojny cybernetycznej.

Wskazuje na to

• wiktymologia

Ataki następowały co godzinę i za każdym razem celem była infrastruktura, której uszkodzenie paraliżuje transport we wrażliwym rejonie świata.

• podobieństwo metod wdrażania

Scenariusz ataku jest podobny do infekcji dokonywanych przez oprogramowanie FoxBlade (znane również jako HermeticWiper). W ten sposób od ponad dwóch tygodni Rosjanie prześladują ukraińskie systemy informatyczne odpowiedzialne za kluczową infrastrukturę tego państwa.  

Źródło: MSTIC