Nieznany wcześniej rodzaj ransomware atakuje transport i logistykę na Ukrainie i w Polsce – ostrzega Microsoft Threat Intelligence Center (MSTIC). Kampania z użyciem nowego szkodnika, nazwanego „Prestige”, została wykryta w minionym tygodniu. Do fali ataków miało dojść 11 października. Koncern nie podaje, ile organizacji zaatakowano i z jakim skutkiem.

Nie wiadomo na razie, jaka grupa stoi za nowym zagrożeniem. Microsoft wskazuje natomiast na podobieństwo działań hakerów do niedawnej rosyjskiej aktywności państwowej.

Ransomware „Prestige” wymaga do uruchomienia uprawnień administratora. Próbuje zatrzymać usługę MSSQL Windows, aby zapewnić udane szyfrowanie – ustalił MSTIC.

Przed wdrożeniem ransomware hakerzy korzystają z dwóch narzędzi do zdalnego wykonywania kodu: RemoteExec oraz Impaket WMIexec. Szkodnik jest instalowany po początkowym włamaniu, które wiąże się z uzyskaniem dostępu do wysoce uprzywilejowanych poświadczeń.

Aby zminimalizować ryzyko, Microsoft radzi m.in. blokować tworzenieprocesów pochodzących z poleceń PSExec i WMI, uruchomić ochronę przed naruszeniami i ochronę w chmurze w programie zabezpieczającym, stosować uwierzytelnianie wieloskładnikowe itd.