Notícias
A Microsoft alerta para ataques direcionados a empresas na Polônia e na Ucrânia.
A Microsoft sinalizou um novo ransomware que atingiu organizações de transporte e logística na Ucrânia e na Polônia.
A Microsoft não viu os invasores usarem uma exploração de software específica, mas todos os ataques utilizam credenciais roubadas da conta de administrador do Active Directory.
A nota de resgate se identifica como sendo "Prestige ranusomeware", de acordo com o Microsoft Threat Intelligence Center (MSTIC) .
O ransomware foi lançado em 11 de outubro e se destacou para os pesquisadores porque era um exemplo raro na Ucrânia de uma implantação de ransomware em toda a empresa e era diferente de 94 outras gangues de ransomware que a Microsoft está rastreando.
Além disso, os perfis das vítimas se alinham com a atividade recente alinhada ao estado da Rússia e se sobrepõem às vítimas do malware destrutivo HermeticWiper que foi implantado no início da invasão da Ucrânia pela Rússia . O governo dos EUA em fevereiro estava preocupado que o mesmo malware pudesse ser usado contra organizações dos EUA.
Mas o MSTIC diz que a campanha Prestige é separada do HermeticWiper e de outros malwares destrutivos que foram implantados em vários operadores de infraestrutura crítica da Ucrânia nas últimas duas semanas. A Microsoft vem rastreando malware destrutivo implantado contra organizações da Ucrânia desde janeiro .
MSTIC está rastreando esta atividade como DEV-0960. DEV é o seu termo para atores de ameaças não identificados anteriormente. Ele mesclará a atividade do grupo com agentes de ameaças conhecidos, como a Nobelium, que é o grupo por trás do ataque à cadeia de suprimentos da SolarWinds, se estabelecer uma conexão com um grupo específico.
O grupo usa várias ferramentas disponíveis publicamente para execução remota de código e obtenção de credenciais de administrador de alto privilégio. Mas a MSTIC não sabe como os invasores estão obtendo acesso inicial às redes. Ele suspeita que os invasores já tinham credenciais privilegiadas de compromissos anteriores. Em todos os casos, independentemente de como os atores obtiveram acesso, eles já tinham direitos no nível de administrador do domínio antes de implantar o ransomware.
A Microsoft descreve três métodos principais que o grupo usou dentro de uma hora de cada ataque. O fato de usarem vários métodos, em vez de um, era incomum.
“A maioria dos operadores de ransomware desenvolve um conjunto preferencial de tradecraft para sua implantação e execução de carga útil, e esse tradecraft tende a ser consistente entre as vítimas, a menos que uma configuração de segurança impeça seu método preferido”, explica MSTIC.
"Para esta atividade DEV-0960, os métodos usados para implantar o ransomware variaram entre os ambientes da vítima, mas não parece ser devido a configurações de segurança que impedem o invasor de usar as mesmas técnicas. Isso é especialmente notável porque todas as implantações de ransomware ocorreu dentro de uma hora."
Dada a falta de uma vulnerabilidade de software conhecida que os invasores estão usando, a Microsoft forneceu várias ações que as organizações podem usar para se proteger, inclusive habilitando a proteção contra adulteração – para impedir alterações no antivírus – e habilitar a autenticação multifator. As mitigações incluem:
- Bloqueie as criações de processos originadas dos comandos PSExec e WMI para interromper o movimento lateral utilizando o componente WMIexec do Impacket
- Habilite a proteção contra adulteração para impedir que ataques interrompam ou interfiram no Microsoft Defender
- Ative a proteção fornecida na nuvem no Microsoft Defender Antivirus ou seu equivalente
- Habilite o MFA e garanta que o MFA seja aplicado para todas as conectividades remotas – incluindo VPNs
"O cenário de ameaças na Ucrânia continua a evoluir, e os limpadores e ataques destrutivos têm sido um tema consistente. Os ataques de ransomware e limpadores dependem de muitas das mesmas fraquezas de segurança para serem bem-sucedidos", alertou a Microsoft.
Fonte:ZDnet.com