En ny ransomware-operation ser ud til at have links til en veteran cyberkriminel gruppe i rummet – samtidig med at man forsøger at piggyback på ry for en af de mest berygtede former for ransomware.
Prometheus ransomware opstod først i februar i år og ikke kun krypterer de kriminelle bag det netværk og kræver en løsesum for dekrypteringsnøglen, de bruger også dobbelt afpresningstaktik og vil true med at lække stjålne data, hvis deres krav til kryptokurrency ikke bliver opfyldt.
Analyse foretaget af cybersikkerhedsforskere ved Palo Alto Networks beskriver, hvordan gruppen, ligesom mange ransomware-operationer i 2021, kører som en professionel virksomhed og endda går så langt som at henvise til ofre for cyberangreb som “kunder” og kommunikere med dem via et billetsystem.
Cyberkriminelle bag Prometheus hævder at have ramt over 30 ofre overalt i verden indtil videre, herunder organisationer i Nordamerika, Europa og Asien. Sektorer, Prometheus hævder at have ramt, inkluderer regering, finansielle tjenester, fremstilling, logistik, rådgivning, landbrug, sundhedsydelser, forsikringsbureauer, energi og lovgivning.
Imidlertid er der kun fire ofre, der har betalt til dato, ifølge gruppens lækageside, der hævder, at et peruansk landbrugsselskab, en brasiliansk sundhedsudbyder og transport- og logistikorganisationer i Østrig og Singapore betalte løsepenge, sagde Palo Alto.
< p> Et bemærkelsesværdigt træk ved Prometheus er, at det bruger branding af en anden ransomware-gruppe på tværs af sin infrastruktur og hævder at være 'Group of REvil' på løsesumnoten og på tværs af dens kommunikationsplatforme.
< stærk> SE: En vinderstrategi for cybersikkerhed (ZDNet-specialrapport) | Download rapporten som en PDF (TechRepublic)
REvil er en af de mest berygtede og mest succesrige ransomware-operationer og hævder en række højt profilerede ofre. FBI tilskrev for nylig ransomware-angrebet mod kødprocessor JBS til gruppen, som menes at fungere ud af Rusland.
På trods af brugen af REvil's navn synes der imidlertid ikke at være nogen sammenhæng mellem de to operationer – og det er sandsynligt, at Prometheus forsøger at bruge navnet på en etableret kriminel operation for at øge deres chance for at modtage en løsesumudbetaling.
“Da der ikke er nogen solid forbindelse bortset fra referencen til navnet, er vores løbeteori, at de udnytter REvil-navnet for at øge deres chancer for at sikre betaling. Hvis du søger efter REvil, vil overskrifterne tale for sig selv versus søgning Prometheus ransomware, hvor sandsynligvis ikke noget større ville være kommet op, ”sagde Doel Santos, trusselsunderretningsanalytiker ved Unit 42, Palo Alto Networks til ZDNet.
Forskere bemærker, at operationen har stærke links til Thanos ransomware.
Thanos ransomware opstod først til salg på underjordiske fora i første halvdel af 2020, men adfærd og infrastruktur herfor er næsten identisk med Prometheus, hvilket kan tyde på, at Thanos og Prometheus drives af den samme gruppe kriminelle.
Se: Dette firma blev ramt af ransomware. Her er hvad de gjorde næste gang, og hvorfor de ikke betalte
Mens forskere ikke har været i stand til at identificere den nøjagtige metode, Prometheus leveres til ofre, vides det, at Thanos distribueres ved hjælp af køb af adgang til netværk, der tidligere er kompromitteret med malware, brutale kraftangreb mod almindeligt anvendte adgangskoder og phishing angreb.
Efter at have kompromitteret ofre med ransomware, skræddersy Prometheus løsepenge afhængigt af målet med krav fra $ 6.000 til $ 100.000 – et tal, der er fordoblet, hvis offeret ikke betaler inden for en uge.
Løsepenge kræves i Monero snarere end Bitcoin, en beslutning, der sandsynligvis er truffet, fordi Monero-transaktioner er sværere at spore end Bitcoin – så der er mindre chance for, at gruppen opdages, eller deres aktiver beslaglægges af retshåndhævende operationer.
Det antages, at gruppen stadig er aktiv og vil fortsætte, så længe angreb forbliver rentable.
”Så længe Prometheus fortsætter med at målrette mod sårbare organisationer, vil det fortsætte med at køre kampagner,” sagde Santos. “Fremadrettet ville vi forvente, at denne gruppe fortsætter med at tilføje ofre til deres lækageside og ændre deres teknikker efter behov,” tilføjede han.
I betragtning af hvordan Prometheus og andre ransomwaregrupper ofte stoler på at bryde brugerkonti for at integrere sig selv på netværk, en ting, som organisationer kan gøre for at beskytte mod ransomware-angreb, er at bruge multifaktorautentificering.
Implementering af dette til alle brugere giver en yderligere barriere for angreb, hvilket gør det sværere for cyberkriminelle at udnytte stjålne legitimationsoplysninger som udgangspunkt for ransomwarekampagner.
MERE OM CYBERSIKKERHED
Ransomware vokser med en alarmerende hastighed, advarer GCHQ-chef Ransomware-angreb er ikke et spørgsmål om, men hvornår < Ransomware: Hvordan NHS lærte lærdomme fra WannaCry for at beskytte hospitaler mod angreb USA genvinder en del af en million dollars løsesum betalt i Colonial Pipeline hack Ransomware er nu en national sikkerhedsrisiko. Denne gruppe mener, at den ved, hvordan man besejrer den
Relaterede emner:
Sikkerhed TV-datastyring CXO-datacentre 