У компанії зазначають, що активність Prestige схожа з атаками виявленої раніше малварі FoxBlade (вона ж HermeticWiper), яку та ж Microsoft виявила 23 лютого 2022 року. Цей вірус був спрямований проти уряду України на самому початку повномасштабного вторгнення і його пов'язують саме з Росією.
Цікаво Хакери атакують російські магазини військового спорядження
Що відомо
- Аналітики розповідають, що у своїх здирницьких записках Prestige називає себе "Prestige ranusomeware".
- Вперше атаки цього шкідника було зафіксовано 11 жовтня 2022 року, коли кілька інцидентів сталися з різницею всього в одну годину.
- Звіт Microsoft свідчить, що оператори Prestige використовують кілька методів розгортання корисного навантаження в мережах жертв, причому це ніяк не пов'язано з тим, які заходи безпеки використовують захисники.
- Зазначається, що шкідник шифрує файли на підставі списку розширень і додає розширення .enc усім постраждалим файлам.
- Prestige використовує бібліотеку CryptoPP C++ для AES-шифрування кожного файлу і видаляє всі резервні та тіньові копії всіх томів, щоб ускладнити відновлення інформації.
Microsoft у своєму об'ємному звіті не повідомляє, які саме українські та польські компанії постраждали та якими були вимоги хакерів. Компанія, судячи з усього, вже внесла зміни до свого вбудованого антивіруса Defender і тепер він може визначати атаку Prestige.