Microsoftはこのほど、「New “Prestige” ransomware impacts organizations in Ukraine and Poland - Microsoft Security Blog」において、新たなランサムウェアがウクライナとポーランドの運輸・関連物流業界の組織を標的にしていると伝えた。これまで確認されていなかったランサムウェアを用いた新たなサイバー攻撃のキャンペーンが観測された。

  • New “Prestige” ransomware impacts organizations in Ukraine and Poland - Microsoft Security Blog

    New “Prestige” ransomware impacts organizations in Ukraine and Poland - Microsoft Security Blog

「Prestige」と呼ばれる新たなランサムウェアキャンペーンが、10月11日にすべての被害者に対して1時間以内に攻撃が展開されたことがMicrosoft脅威インテリジェントチーム(MSTIC: Microsoft Threat Intelligence Center)によって確認された。

このキャンペーンでは、これまでMicrosoftが追跡した他のランサムウェアキャンペーンとは異なる顕著な特徴があると説明されている。その特徴は次のとおり。

  • ウクライナでは企業規模でランサムウェアが展開されることは一般的ではなく、追跡されている現在アクティブな94のランサムウェア活動グループのいずれとも関連していない
  • このキャンペーン以前にPrestigeランサムウェアがMicrosoftに観測されたことはなかった
  • 特に影響を受ける地域や国について、最近のロシア国家と連携した活動および「FoxBlade」マルウェア(別名「HermeticWiper」)の被害者と重なる

このキャンペーンは類似の展開手法を使用しているものの、過去2週間にウクライナの複数の重要インフラ組織に影響を与えた「AprilAxe(ArguePatch)」/「CaddyWiper」または「Foxblade(HermeticWiper)」ランサムウェアを活用した最近のサイバー攻撃とは異なるものとされている。Microsoft脅威インテリジェントチームはこのランサムウェアキャンペーンと既知の脅威グループとの関連付けを行っておらず、「DEV-0960」と名付けている。

MicrosoftはこのDEV-0960を引き続き監視し、より広いセキュリティコミュニティやその他の戦略的パートナーと積極的に協力し、複数のチャネルを通じてこの進化する脅威に対処するのに役立つ情報を共有していくと述べている。