新的勒索病毒瞄准乌克兰和波兰的交通行业 媒体

乌克兰与波兰面临新的勒索病毒攻击

关键要点

近期，微软透露了一项新的勒索病毒活动，该活动主要针对乌克兰和波兰的交通与物流行业。根据微软的信息，该“Prestige勒索病毒”自10月11日起首次被捕获，并在一个小时内攻击了许多目标。调查人员尚未能将这种新型勒索病毒与目前追踪的94个活跃的勒索病毒团伙关联，这令人感到不解。

虽然受害者的特征与最近与俄罗斯国家相关的活动相似，且与之前的HermeticWiper攻击重叠，但研究人员明确指出，此次活动与那些破坏性攻击不同。自俄罗斯于二月开始入侵以来，后者一直在持续对乌克兰组织进行攻击。俄罗斯也是全球勒索病毒的重灾区，许多顶尖黑客团伙总部设立于此，并与克里姆林宫及情报机构保持一种模糊而共生的关系。

微软仍在对此次攻击进行深入调查，并正在通知尚未支付赎金的用户。研究人员指出，此次攻击使用了三种不同的方法来展开，这在勒索病毒攻击中并不常见。

“大多数勒索病毒操作者会为他们的有效载荷部署和执行开发一套首选的技巧，而这种技术在受害者之间通常是保持一致的，除非安全配置阻止他们使用首选的方法。” 微软威胁情报中心(MSTIC)解释道：“然而在DEV0960活动中，部署勒索病毒的方法在受害者的环境中各不相同，但这并不是由于安全配置的原因。”

其中一种方法是将勒索病毒载荷复制到远程系统的ADMIN共享中，并使用Impacket远程创建Windows计划任务以执行载荷。

来源：微软

另一种方法则是将载荷复制到ADMIN共享中，并使用Impacket远程调用被编码的PowerShell命令。

来源：微软

研究人员发现，还有一些案例中，勒索病毒载荷通过默认域组策略对象部署到系统上，是从Active Directory域控制器复制而来的。

来源：微软

针对这一复杂威胁，微软提供了一些建议以帮助组织抵御潜在攻击。缓解措施包括阻止来源于PSExec和WMI命令的进程创建，以阻止横向移动，启用Taper保护以防止攻击中断或干扰微软Defender的运行，开启微软Defender Antivirus的云保护功能，并启用多因素身份验证来强化任何远程连接。

“针对援助乌克兰的国家进行攻击可能是俄罗斯网络行动者的下一个步骤，这也代表着这一领域冲突的升级。邻国最有可能受到影响。”赛门铁克威胁猎手团队的首席情报分析师迪克奥布莱恩(Dick OBrien)在给SC Media的邮件中指出。