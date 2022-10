In einer Serie von Angriffen auf ukrainische und polnische Firmen wurde seit dem 11. Oktober ein bisher nicht bekanntes Schadprogramm verbreitet. Das teilten die Sicherheitsexperten vom Threat Intelligence Center bei Microsoft (MSTIC) am Freitag mit. Sie stellten keine Vermutungen zum Ursprung der Attacke auf, verwiesen jedoch darauf, dass sich die Ziele mit denen früherer russischer Cyberangriffe deckten.

Das MSTIC habe Beweise für die neuartige Ransomware-Kampagne identifiziert, schreiben die Experten im Security-Blog: "Wir haben beobachtet, dass diese neue Ransomware, die sich in ihrer Lösegeldforderung 'Prestige-Ranusomeware' nennt, am 11. Oktober bei Angriffen eingesetzt wurde, die innerhalb einer Stunde auf alle Opfer verübt wurden."

Die Kampagne habe einige bemerkenswerte Merkmale, so die Experten weiter, und stehe mit keiner der 94 anderen, derzeit aktiven Ransomware-Aktivitätsgruppen in Verbindung, die Microsoft verfolge. Ein Angriff auf komplette Unternehmen per Ransomware sei in der Ukraine bisher nur selten beobachtet worden.

Merkwürdige Variationen

MSTIC verfolgt die Aktivität unter der Bezeichnung "DEV-0960" und versucht, Kunden frühzeitig zu benachrichtigen, die von DEV-0960 betroffen, aber noch nicht freigekauft wurden. Bei der DEV-0960-Aktivität variierten die Methoden zur Bereitstellung der Ransomware in den angegriffenen Umgebungen, heißt es im Blogbeitrag. "Aber es scheint nicht an Sicherheitskonfigurationen zu liegen, die den Angreifer daran hindern, dieselben Techniken zu verwenden. Dies ist besonders bemerkenswert, da die Ransomware-Bereitstellungen alle innerhalb einer Stunde erfolgten."

Eine von drei Methoden, nach denen die Angriffe ablaufen. (Bild: https://www.microsoft.com/security/blog/2022/10/14/new-prestige-ransomware-impacts-organizations-in-ukraine-and-poland)

Die "Prestige"-Ransomware erfordert Administratorrechte, um ausgeführt zu werden. Offenbar werden zunächst Zugangsdaten erbeutet, mit denen der Angriff anschließend ausgeweitet wird. So ließen sich auch Zugangsdaten aus Active-Directory-Backups gewinnen. Nach der Verschlüsselung der vorhandenen Daten auf dem System löscht die Schadsoftware erreichbare Backups.

(dwi)