Microsoft Threat Intelligence Center (MSTIC) ka zbuluar një fushatë të re ransomware kundër kompanive që operojnë në sektorin e transportit dhe logjistikës në Ukrainë dhe Poloni. Sulmet janë kryer me Prestige që nga 11 tetori i kaluar. Autorët nuk janë identifikuar ende, kështu që Microsoft ka zgjedhur emrin paraprak DEV-0960.
Prestige: detaje mbi ransomware-in e ri
Para se të shpërndajnë ransomware, kriminelët kibernetikë përdorin mjete të ndryshme për të përshkallëzuar privilegjet dhe për të vjedhur kredencialet e administratorit. Microsoft ka zbuluar tre metoda të përdorura për të instaluar malware në kompjuterët e viktimave. E para përfshin kopjimin e Prestige në pjesën e ADMIN $ dhe përdorimin e Impacket WMIexec për të krijuar një detyrë të planifikuar që ekzekuton ransomware.
Metoda e dytë është e ngjashme, por Impacket WMIexec përdoret për të thirrur një komandë PowerShell që ekzekuton ransomware. Metoda e fundit përfshin kopjimin e Prestige në një kontrollues domeni Active Directory dhe ekzekutimin përmes një politike grupi. Malware më pas fillon të enkriptojë file-tme një shtesë specifike (shtohet një shtesë e dytë .enc) dhe fshin të gjitha kopjet në hije. Kur përdoruesi ekzekuton një skedar të koduar, Notepad shfaq skedarin e tekstit me udhëzimet që duhen ndjekur për të blerë dekriptuesin.
Meqenëse ndërhyrja në sisteme ndodh me privilegje administratori, Microsoft fillimisht rekomandon përdorimin e fjalëkalimeve të forta dhe aktivizimin e vërtetimit me shumë faktorë. Gjithashtu preferohet të çaktivizohet ekzekutimi i proceseve të krijuara përmes PsExec dhe WMI. Së fundi, duhet të përdoret një zgjidhje sigurie e mbrojtur nga cloud.
Discussion about this post