Microsoft

Neue Ransomware in der Ukraine und Polen entdeckt

Die Security-Forscher von Microsoft haben eine neue Ransomware-Kampagne entdeckt. Die Angriffe zielen auf den Logistik- und Transportsektor in der Ukraine und Polen.
Von 
CSO | 18. Oktober 2022 16:41 Uhr
Microsoft hat eine neue Ransomware identifiziert, die sich deutlich von bisherigen Angriffswellen unterscheidet.
Microsoft hat eine neue Ransomware identifiziert, die sich deutlich von bisherigen Angriffswellen unterscheidet.
Foto: JLStock - shutterstock.com

Das Microsoft Threat Intelligence Center (MSTIC) hat kürzlich eine Cyberangriffs-Kampagne aufgespürt, die auf einer neuen Ransomware namens Prestige basiert. Laut Forschungsbericht ist die Malware seit dem 11. Oktober im Rahmen einer groß angelegten Kampagne gegen die Transport- und Logistikbranche in Polen und der Ukraine im Einsatz.

Die Ransomware-Kampagne unterscheidet sich dabei laut MSTIC deutlich von bisherigen Angriffswellen. So sei es bisher eher selten gewesen, dass Unternehmen in der Ukraine komplett mit einer Ransomware angegriffen wurden, erklären die Forscher. Zudem könne die Kampagne keiner der 94 bekannten Ransomware-Gruppen zugeordnet werden, die Microsoft verfolge. Die Auswahl der Opfer passe jedoch zu bisherigen Angriffen, die Ziele des russischen Staats verfolgten, heißt es weiter.

So verbreitet sich die Prestige-Ransomware

Um den Fall besser verfolgen zu können, listet Microsoft die Gruppe vorerst unter der Bezeichnung DEV-0960 auf. Der initiale Angriffsvektor sei noch nicht bekannt, es seien aber schon Zugangsdaten erbeutet worden, heißt es im Bericht. Das Forscherteam geht davon aus, dass die Angreifer bereits durch eine frühere Kompromittierung Zugriff auf hochprivilegierte Anmeldeinformationen hatten. Zudem stellten sie fest, dass die Ransomware durch drei verschiedene Methoden verbreitet wird :

  • Methode 1: Die Ransomware-Payload wird in die ADMIN$-Freigabe eines Remote-Systems kopiert. Zudem werden Impacket-Tools verwendet, um remote einen Windows Scheduled Task auf den Zielsystemen zu erstellen, um dann die Payload auszuführen.

  • Methode 2: Dieser Ansatz ähnelt der ersten Vorgehensweise. Hier wird Impacket allerdings dazu verwendet, um einen verschlüsselten PowerShell-Befehl auf den Zielsystemen remote aufzurufen, um die Payload auszuführen.

  • Methode 3: Die Ransomware-Nutzdaten werden auf einen Active-Directory-Domänencontroller kopiert und mithilfe des Gruppenrichtlinienobjekts der Standarddomäne auf den Systemen bereitgestellt.

Julia Mutzbauer ist  Editor bei CSO. Ihr Schwerpunkt ist Security.