Netskope est nommé leader dans le Magic Quadrant™ du Gartner 2022 dédié au Security Service Edge Recevoir le rapport

  • Security Service Edge Products

    Protect against advanced and cloud-enabled threats and safeguard data across all vectors.

  • Borderless SD-WAN

    Confidently provide secure, high-performance access to every remote user, device, site, and cloud.

  • Plateforme

    Une visibilité inégalée et une protection des données et des menaces en temps réel sur le plus grand cloud privé de sécurité au monde.

Netskope reconnu comme un des leaders dans le rapport du Magic Quadrant™ 2022 du Gartner dédié au SSE

Recevoir le rapport Présentation des produits
Netskope gartner mq 2022 leader sse

Réponse rapide de Gartner® : Quel est l'impact de l'acquisition d'Infiot par Netskope sur les projets SD-WAN, SASE et SSE ?

Recevoir le rapport
Quick Answer: How Does Netskope’s Acquisition of Infiot Impact SD-WAN, SASE and SSE Projects?

Netskope offre une solution moderne de sécurité du cloud, dotée de fonctions unifiées en matière de protection des données et de détection des menaces, et d'un accès privé sécurisé.

Découvrir notre plateforme
Vue aérienne d'une métropole

Optez pour les meilleurs services de sécurité cloud du marché, avec un temps de latence minimum et une fiabilité élevée.

Plus d'informations
Lighted highway through mountainside switchbacks

Neutralisez les menaces qui échappent souvent à d'autres solutions de sécurité à l'aide d'un framework SSE unifié.

Plus d'informations
Lighting storm over metropolitan area

Solutions Zero Trust pour les déploiements du SSE et du SASE

Plus d'informations
Boat driving through open sea

Netskope permet à toutes les entreprises d'adopter des services et des applications cloud ainsi que des infrastructures cloud publiques rapidement et en toute sécurité.

Plus d'informations
Wind turbines along cliffside
  • Nos clients

    Netskope sert plus de 2 000 clients dans le monde, dont plus de 25 des entreprises du classement Fortune 100

  • Solutions pour les clients

    Nous sommes là pour vous et avec vous à chaque étape, pour assurer votre succès avec Netskope.

  • Formation et certification

    Avec Netskope, devenez un expert de la sécurité du cloud.

Nous parons nos clients à l'avenir, quel qu'il soit

Voir nos clients
Woman smiling with glasses looking out window

L’équipe de services professionnels talentueuse et expérimentée de Netskope propose une approche prescriptive pour une mise en œuvre réussie.

Plus d'informations
Netskope Professional Services

Sécurisez votre parcours de transformation numérique et tirez le meilleur parti de vos applications cloud, Web et privées grâce à la formation Netskope.

Plus d'informations
Group of young professionals working
  • Ressources

    Découvrez comment Netskope peut vous aider à sécuriser votre migration vers le Cloud.

  • Blog

    Découvrez comment Netskope permet de transformer la sécurité et les réseaux à l'aide du Security Service Edge (SSE).

  • Événements et ateliers

    Restez à l'affût des dernières tendances en matière de sécurité et créez des liens avec vos pairs.

  • Security Defined

    Tout ce que vous devez savoir dans notre encyclopédie de la cybersécurité.

Podcast Security Visionaries

Episode 15: Building Permanent Security Awareness

Écouter le podcast
Black man sitting in conference meeting

Découvrez comment Netskope permet de passer au Zero Trust et au modèle SASE grâce aux fonctions du Security Service Edge (SSE).

Lire le blog
Sunrise and cloudy sky

SASE Week

Netskope is positioned to help you begin your journey and discover where Security, Networking, and Zero Trust fit in the SASE world.

Plus d'informations
SASE Week

Qu'est-ce que le Security Service Edge ?

Découvrez le côté sécurité de SASE, l'avenir du réseau et de la protection dans le cloud.

Plus d'informations
Four-way roundabout
  • Entreprise

    Nous vous aidons à conserver une longueur d'avance sur les défis posés par le cloud, les données et les réseaux en matière de sécurité.

  • Pourquoi Netskope

    La transformation du cloud et le travail à distance ont révolutionné le fonctionnement de la sécurité.

  • Équipe de direction

    Nos dirigeants sont déterminés à faciliter la réussite de nos clients.

  • Partenaires

    Nous collaborons avec des leaders de la sécurité pour vous aider à sécuriser votre transition vers le cloud.

Netskope permet l'avenir du travail.

En savoir plus
Curvy road through wooded area

Netskope redéfinit la sécurité du cloud, des données et des réseaux afin d'aider les entreprises à appliquer les principes Zero Trust pour protéger leurs données.

Plus d'informations
Switchback road atop a cliffside

Penseurs, concepteurs, rêveurs, innovateurs. Ensemble, nous fournissons le nec plus ultra des solutions de sécurité cloud afin d'aider nos clients à protéger leurs données et leurs collaborateurs.

Rencontrez notre équipe
Group of hikers scaling a snowy mountain

La stratégie de commercialisation de Netskope privilégie ses partenaires, ce qui leur permet de maximiser leur croissance et leur rentabilité, tout en transformant la sécurité des entreprises.

Plus d'informations
Group of diverse young professionals smiling

Netskope Threat Coverage: Prestige Ransomware

Nov 18 2022

Résumé

In October 2022, a novel ransomware named Prestige was found targeting logistics and transportation sectors in Ukraine and Poland. According to Microsoft, victims affected by Prestige overlap with previous victims targeted by HermeticWiper, spotted in February 2022. 

The research also shows that the attackers deployed the ransomware within an hour between all victims, abusing highly privileged domain credentials to deploy the payload. Prestige also appeared among the top five ransomware families blocked by Netskope in October 2022.

In November 2022, a new research linked Prestige ransomware with a Russian-based threat actor known as IRIDIUM, which overlaps with Sandworm, another threat group that is linked to destructive attacks since the war started in Ukraine. In this blog post, we will show how Prestige ransomware works.

Analysis 

The sample we analyzed was likely compiled on October 7, 2022 and it’s written in C/C++.

Screenshot of Prestige ransomware binary details.
Prestige ransomware binary details.

Once executed, Prestige creates its ransom note named “README” in the “C:\Users\Public” folder. The note is also created in folders where there are files encrypted by this ransomware.

Example of part of the routine that creates Prestige ransom note.
Part of the routine that creates Prestige ransom note.

Prestige then modifies the Windows registry to make notepad open the ransom note every time an “.enc” file is opened, using the following commands:

  • C:\Windows\System32\reg.exe add HKCR\.enc /ve /t REG_SZ /d enc /f
  • C:\Windows\System32\reg.exe add HKCR\enc\shell\open\command /ve /t REG_SZ /d \”C:\Windows\Notepad.exe C:\Users\Public\README\” /f
Example of Prestige registering the “.enc” extension via Windows Registry.
Prestige registering the “.enc” extension via Windows Registry.

Prestige tries to stop the MSSQL Windows service to avoid issues during the encryption of the files, by running the following command:

  • C:\Windows\System32\net.exe stop MSSQLSERVER
Screenshot of Prestige stopping MSSQL service
Prestige stopping MSSQL service

Then, the ransomware starts the encryption process by searching files with specific extensions, which can be found below.

.1cd, .7z, .abk, .accdb, .accdc, .accde, .accdr, .alz, .apk, .apng, .arc, .asd, .asf, .asm, .asx, .avhd, .avi, .avif, .bac, .backup, .bak, .bak2, .bak3, .bh, .bkp, .bkup, .bkz, .bmp, .btr, .bz, .bz2, .bzip, .bzip2, .c, .cab, .cer, .cf, .cfu, .cpp, .crt, .css, .db, .db-wal, .db3, .dbf, .der, .dmg, .dmp, .doc, .docm, .docx, .dot, .dotm, .dotx, .dpx, .dsk, .dt, .dump, .dz, .ecf, .edb, .epf, .exb, .ged, .gif, .gpg, .gzi, .gzip, .hdd, .img, .iso, .jar, .java, .jpeg, .jpg, .js, .json, .kdb, .key, .lz, .lz4, .lzh, .lzma, .mdmr, .mkv, .mov, .mp3, .mp4, .mpeg, .myd, .nude, .nvram, .oab, .odf, .ods, .old, .ott, .ovf, .p12, .pac, .pdf, .pem, .pfl, .pfx, .php, .pkg, .png, .pot, .potm, .potx, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prf, .pvm, .py, .qcow, .qcow2, .r0, .rar, .raw, .rz, .s7z, .sdb, .sdc, .sdd, .sdf, .sfx, .skey, .sldm, .sldx, .sql, .sqlite, .svd, .svg, .tar, .taz, .tbz, .tbz2, .tg, .tib, .tiff, .trn, .txt, .txz, .tz, .vb, .vbox, .vbox-old, .vbox-prev, .vdi, .vdx, .vhd, .vhdx, .vmc, .vmdk, .vmem, .vmsd, .vmsn, .vmss, .vmx, .vmxf, .vsd, .vsdx, .vss, .vst, .vsx, .vtx, .wav, .wbk, .webp, .wmdb, .wmv, .xar, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xz, .z, .zbf, .zip, .zipx, .zl, .zpi, .zz

Screenshot of part of the targeted extensions by Prestige.
Part of the targeted extensions by Prestige.

This ransomware skips the encryption process in the  folders “C:\Windows” and “C:\ProgramData\Microsoft“.

Screenshot of paths that Prestige ignores the encryption process.
Paths that Prestige ignores the encryption process.

Prestige encrypts the files with AES using the Crypto++ library. The malware then uses RSA to protect the key, which is a common behavior among ransomware.

Screenshot of public RSA key used by the ransomware we analyzed.
Public RSA key used by the ransomware we analyzed.

Furthermore, Prestige abuses both wbadmin and vssadmin utilities to delete backup and volume shadow copies on the system, using the following commands:

  • C:\Windows\System32\wbadmin.exe delete catalog -quiet
  • C:\Windows\System32\vssadmin.exe delete shadows /all /quiet
Screenshot of Prestige executing commands to delete backups and volume shadow copies.
Prestige executing commands to delete backups and volume shadow copies.

As previously mentioned, Prestige adds the “.enc” extension to encrypted files. If the victim tries to open any of these files, then the ransom note is displayed via Notepad.

Unlike other ransomware groups, like BlackCat or LockBit, Prestige doesn’t provide a website hosted on the deep web as a contact point. Instead, they ask the victim to send an email to a Proton address, along with an ID for identification.

Conclusion

As the war in Ukraine continues to develop, we should expect more threats like the Prestige ransomware targeting Ukrainian citizens and allies. Because the attackers behind this threat were found to be abusing highly privileged credentials, we strongly recommend organizations to revisit password policies and enable MFA to mitigate abuse in compromised accounts. 

Furthermore, ransomware groups often use Living-off-the-Land techniques to carry out attacks, such as abusing PsExec or WMI. Thus, we recommend blocking process creation sourced from these tools, as well as using tools like SIGMA to monitor possible Living-off-the-Land abuse. Using a secure web gateway is also strongly recommended to be able to identify and block web traffic related to threats like Prestige in real time.

Protection

Netskope Threat Labs is actively monitoring this campaign and has ensured coverage for all known threat indicators and payloads. 

  • Netskope Threat Protection
    • Win32.Ransomware.Prestige
  • Netskope Advanced Threat Protection provides proactive coverage against this threat.
    • Gen.Malware.Detect.By.StHeur indicates a sample that was detected using static analysis
    • Gen.Malware.Detect.By.Sandbox indicates a sample that was detected by our cloud sandbox

IOCs

All the IOCs related to this campaign and a Yara rule can be found in our GitHub repository.

author image
Gustavo Palazolo
Gustavo Palazolo is an expert in malware analysis, reverse engineering and security research, working many years in projects related to electronic fraud protection. He is currently working on the Netskope Research Team, discovering and analyzing new malware threats.