Verschillende organisaties in Oekraïne en Polen zijn het doelwit geworden van gerichte aanvallen met een nieuw ransomware-exemplaar genaamd Prestige, zo claimt Microsoft. De aanval vond op 11 oktober plaats, waarbij alle slachtoffers binnen een uur van elkaar werden getroffen. Volgens Microsoft verschilt deze ransomware-aanval van andere aanvallen.
De getroffen organisaties zijn actief in de transportsector en gerelateerde logistieke industrieën in Oekraïne en Polen. Microsoft stelt dat er een overlap is met organisaties die eerder dit jaar slachtoffer van aanvallen met wiper-malware werden. Hoe de aanvallers toegang tot de netwerken van de getroffen organisaties wisten te krijgen is niet bekend. Eenmaal actief verwijderden de aanvallers de back-upcatalogus van het systeem, alsmede alle volume shadow copies. Dit moet herstel van versleutelde bestanden voorkomen.
Bij de aanvallen maakten de aanvallers onder andere gebruik van RemoteExec en Impacket WMIexec voor het op afstand uitvoeren van code. Organisaties die zich tegen de aanvallen willen beschermen wordt onder andere aangeraden om processen die afkomstig zijn van PSExec- en WMI-commando's te blokkeren, om zo laterale bewegingen via het WMIexec-onderdeel van Impacket te stoppen. Verder wordt het inschakelen van de Tamper protection van Microsoft Defender geadviseerd.
Deze posting is gelocked. Reageren is niet meer mogelijk.