Російські хакери атакували вірусом-вимагачем українців: Microsoft дала поради

Центр аналізу загроз Microsoft (MSTIC) виявив докази нової кампанії програм-вимагачів, націлених на організації в Україні та Польщі з використанням програм-вимагачів, які раніше не були ідентифіковані. Ми помітили, що це нове програмне забезпечення-вимагач, яке позначається у своїй записці про викуп як "Prestige ranusomeware", було розгорнуто 11 жовтня під час атак, які відбувалися з інтервалом у годину на всіх жертв.

Ця кампанія мала кілька помітних особливостей, які відрізняють її від інших кампаній-вимагачів, які відстежує Microsoft:

• Розгортання програм-вимагачів в масштабах підприємства не є поширеним явищем в Україні, і ця діяльність не була пов’язана з жодною з 94 активних груп активності програм-вимагачів, які відстежує Microsoft.
• Microsoft не спостерігала програму-вимагач Prestige до цього розгортання
• Ця діяльність схожа на віктимологію з нещодавньою російською державною діяльністю, зокрема щодо постраждалих регіонів і країн, і збігається з попередніми жертвами зловмисного програмного забезпечення FoxBlade (також відомого як HermeticWiper).

Незважаючи на використання подібних методів розгортання, кампанія відрізняється від останніх деструктивних атак із використанням AprilAxe (ArguePatch)/CaddyWiper або Foxblade (HermeticWiper), які вплинули на численні організації критичної інфраструктури в Україні за останні два тижні. MSTIC ще не пов’язав цю кампанію програм-вимагачів із відомою групою загроз і продовжує розслідування. MSTIC відстежує цю діяльність як DEV-0960.

Програмне забезпечення-вимагач було розгорнуто автором після початкового компромісу, який передбачав отримання доступу до облікових даних із високим ступенем привілейованості. Методи, які використовує автор і описані в розділі "Спостереження за діяльністю автора", можна пом’якшити, врахувавши наведені нижче міркування щодо безпеки:

• Блокуйте створення процесів, що надходять від команд PSExec і WMI, щоб зупинити бічний рух за допомогою компонента WMIexec Impactet.

• Увімкніть захист від втручання, щоб запобігти зупинці атак або перешкоджанню роботі Microsoft Defender.
• Увімкніть хмарний захист у Microsoft Defender Antivirus або еквівалент для вашого антивірусного продукту, щоб охопити інструменти та методи зловмисників, які швидко розвиваються. Хмарні засоби захисту машинного навчання блокують величезну більшість нових і невідомих варіантів.
• Хоча ця атака відрізняється від традиційних програм-вимагачів, дотримання наших вказівок щодо захисту від програм-вимагачів допомагає захистити від крадіжки облікових даних, бокового переміщення та розгортання програм-вимагачів, які використовує DEV-0960.
• Використовуйте включені індикатори компрометації, щоб дослідити, чи існують вони у вашому середовищі, і оцінити потенційне вторгнення.

Увімкніть багатофакторну автентифікацію (MFA) , щоб запобігти потенційно скомпрометованим обліковим даним і переконатися, що MFA застосовується для всіх віддалених з’єднань, включаючи VPN. Корпорація Майкрософт настійно рекомендує всім клієнтам завантажувати та використовувати безпарольні рішення, такі як Microsoft Authenticator , щоб захистити свої облікові записи.

Нагадаємо, українські хакери показали по ТБ в окупованому Криму виступ Зеленського.

Бажаєте отримувати найактуальніші новини про війну та події в Україні – підписуйтесь на наш телеграм канал!