Ransomware Prestige Terbaru Targetkan Organisasi di Ukraina dan Polandia

Cyberthreat.id – Microsoft Threat Intelligence Center (MSTIC) mengungkapkan bahwa ransomware Prestige terbaru saat ini aktif digunakan dalam kampanye yang menargetkan organisasi transportasi dan logistik di Ukraina dan Polandia.

Dikutip dari Bleeping Computer, Microsoft mengatakan ransomware baru ini pertama kali digunakan pada 11 Oktober, dalam serangan yang terdeteksi dalam waktu satu jam satu sama lain. Penyerang terlihat menyebarkan muatan ransomware di seluruh jaringan perusahaan korban mereka, sebuah taktik yang sangat jarang terlihat dalam serangan yang menargetkan organisasi Ukraina.

“Aktivitas tersebut berbagi viktimologi dengan aktivitas yang selaras dengan negara Rusia baru-baru ini, khususnya pada geografi dan negara yang terkena dampak, dan tumpang tindih dengan korban sebelumnya dari malware FoxBlade,” kata Microsoft.

Microsoft menjelaskan, HermeticWiper adalah malware perusak yang dikenal sebagai penghapus yang pertama kali terlihat dikerahkan terhadap organisasi Ukraina tepat sebelum dimulainya invasi ke Ukraina. Namun, Microsoft menegaskan bahwa aktivitas ini tidak terhubung ke salah satu dari 94 grup aktivitas ransomware yang saat ini aktif yang dilacak Microsoft.

“Saat ini, Microsoft belum menautkan serangan ransomware Prestige ke pelaku ancaman tertentu dan untuk sementara melacak klaster aktivitas ini sebagai DEV-0960,” kata perusahaan tersebut.

Microsot mengatakan, kelompok ancaman di balik serangan ransomware ini menggunakan beberapa metode untuk menyebarkan muatan di seluruh jaringan korban, meskipun peralihan teknik ini tidak selalu diminta oleh langkah-langkah keamanan yang diambil oleh para pembela HAM untuk memblokirnya.

Dalam laporannya, MSTIC menyoroti tiga metode berikut yang digunakan untuk penyebaran ransomware Prestige. Pertama muatan ransomware disalin ke bagian ADMIN$ dari sistem jarak jauh, dan Impacket digunakan untuk membuat Tugas Terjadwal Windows dari jarak jauh pada sistem target untuk menjalankan muatan. Kemudian, payload ransomware disalin ke bagian ADMIN$ dari sistem jarak jauh, dan Impacket digunakan untuk menjalankan perintah PowerShell yang disandikan dari jarak jauh pada sistem target untuk mengeksekusi payload

“Muatan ransomware kemudian disalin ke Pengendali Domain Direktori Aktif dan disebarkan ke sistem menggunakan Objek Kebijakan Grup Domain Default,” kata Microsot.

Setelah disebarkan, muatan ransomware Prestige akan menjatuhkan catatan tebusan bernama "README.txt" di direktori root dari setiap drive yang dienkripsi. Ini mengenkripsi file berdasarkan ekstensi yang cocok dengan daftar yang telah ditentukan dan menambahkan ekstensi .enc di akhir nama file setelah enkripsi.

Kelompok ini juga menggunakan perpustakaan CryptoPP C++ untuk mengenkripsi AES setiap file yang cocok pada sistem yang disusupi, dan itu akan menghapus katalog cadangan dan semua salinan bayangan volume untuk menghalangi upaya pemulihan.