Zum Hauptinhalt Zur Navigation
Abo testen Anmelden
Deals
Rack & StackSecurityWirtschaftEnergie & KlimaHardware

Prestige: Microsoft findet neue Ransomware in Polen und Ukraine

Das Sicherheitsteam von Microsoft hat eine komplett neue Ransomware -Kampagne gegen den Logistik- und Transportsektor in der Ukraine und Polen entdeckt.
/ Sebastian Grüner
5 Kommentare News folgen (öffnet im neuen Fenster)
Microsoft beschreibt die neue Ransomware Prestige. (Bild: Magali Cohen / Hans Lucas via Reuters Connect)
Microsoft beschreibt die neue Ransomware Prestige. Bild: Magali Cohen / Hans Lucas via Reuters Connect

In seinem Security-Blog berichtet das Threat Intelligence Center von Microsoft(öffnet im neuen Fenster) (MSTIC) von einer offenbar von Grund auf neu geschriebenen Ransomware. Diese wird demnach im Rahmen einer groß angelegten Kampagne seit dem 11. Oktober gegen die Transport- und Logistikbranche in Polen und der Ukraine eingesetzt.

Neue Angebote bei Golem Jobs(öffnet im neuen Fenster)
Berliner Landesnetz Standardnetzzugang Koordinator*in IT-Dienstleistungszentrum (ITDZ Berlin), Berlin (öffnet im neuen Fenster)
Teamleiter*in Digitale Technologien Campact e.V., Berlin (öffnet im neuen Fenster)
Wissenschaftliche*r Mitarbeiter*in (m/w/d) in Teilzeit (75 %) im Zentrum für Empirische Forschung (ZEF) der Fakultät Wirtschaft & Gesundheit Duale Hochschule Baden-Württemberg Stuttgart, Stuttgart (öffnet im neuen Fenster)
Assistenz der CPO (m/w/d) TRIO Leuchten GmbH, Arnsberg (öffnet im neuen Fenster)
Anwendungsentwickler / Informatiker (m/w/d) Bistum Augsburg, Augsburg (öffnet im neuen Fenster)
BI-Entwickler (m/w/d) AOK Bayern - Die Gesundheitskasse, München (öffnet im neuen Fenster)
Inhouse Consultant (m/w/d) für IT und Prozesse Stadtreinigung Hamburg Anstalt des öffentlichen Rechts, Hamburg (öffnet im neuen Fenster)
IT-Systemadministrator Schwerpunkt Support und Client Management (m/w/d) Stadtwerke Balingen, Balingen (öffnet im neuen Fenster)

Das Vorgehen und die eingesetzte Malware, die mit dem Namen Prestige bezeichnet wird, unterscheide sich deutlich von bisherigen Angriffen, heißt es dazu. So sei etwa der Angriff auf komplette Unternehmen per Ransomware in der Ukraine bisher eher selten gewesen.

Außerdem könne die Kampagne keiner der 94 Ransomware-Gruppen zugeordnet werden, die das Team von Microsoft verfolge und diesem bisher bekannt seien. Die Opferauswahl passe aber zu bisherigen Angriffen, die mit den Zielen des russischen Staats übereinstimmten, hieß es weiter.

Nicht der einzige Ransomware-Angriff in der Ukraine

In den vergangenen Wochen habe es darüber hinaus zwar mehrere Ransomware-Angriffe auf kritische Infrastrukturen in der Ukraine gegeben, die Prestige-Kampagne sei aber dennoch eigenständig. Microsoft versucht derzeit, die Urheber näher zu benennen, und behilft sich dabei vorerst mit der Bezeichnung DEV-0960. Das Sicherheitsteam beschreibt darüber hinaus das Vorgehen der aktuellen Kampagne.

Neues aus der Golem Karrierewelt(öffnet im neuen Fenster)

Den initialen Angriffsvektor kenne man dabei noch nicht, es würden aber Zugangsdaten erbeutet. Mit deren Hilfe werde der Angriff ausgeweitet, indem etwa die Rechte durch bekannte Lücken erweitert oder vermutlich auch Zugangsdaten aus Active-Directory-Backups gewonnen würden. Die eigentliche Ransomware werde dann auf Netzwerkfreigaben mit Administrationsrechten eingespielt und darüber auf fremden Systemen ausgeführt.

Alternativ dazu wird die Ransomware den Angaben zufolge über den Active Directory Domain Controller mithilfe einer Gruppenrichtlinie an die Zielsysteme verteilt. Nach der Verschlüsselung der vorhandenen Daten auf dem System werden eventuell erreichbare Backups gelöscht.

Zur Startseite 5 Kommentare

Relevante Themen

SoftwarePolitikMilitärSecurityCybercrimeUkrainekriegDatensicherheitMalware