Warum ist Ransomware eine so große Bedrohung und wie schützen Sie Ihr Netzwerk dagegen? Jetzt ansehen
Eine aufkommende Ransomware-Operation scheint Verbindungen zu einer erfahrenen Cyberkriminellen-Gruppe im Weltraum zu haben – und versucht gleichzeitig, den Ruf einer der berüchtigtsten Formen von Ransomware zu bergen.
Die Prometheus-Ransomware tauchte erstmals im Februar dieses Jahres auf und die Kriminellen dahinter verschlüsseln nicht nur Netzwerke und fordern ein Lösegeld für den Entschlüsselungsschlüssel, sie wenden auch doppelte Erpressungstaktiken an und drohen mit gestohlenen Daten, wenn ihre Forderungen nach Kryptowährung nicht erfüllt werden.
Eine Analyse von Cybersicherheitsforschern von Palo Alto Networks zeigt, wie die Gruppe wie viele Ransomware-Operationen im Jahr 2021 wie ein professionelles Unternehmen funktioniert und die Opfer von Cyberangriffen sogar als “Kunden” bezeichnet. Kommunikation mit ihnen über ein Ticketsystem.
Die Cyberkriminellen hinter Prometheus behaupten, bisher über 30 Opfer auf der ganzen Welt getroffen zu haben, darunter Organisationen in Nordamerika, Europa und Asien. Zu den Sektoren, die Prometheus nach eigenen Angaben getroffen hat, gehören Regierung, Finanzdienstleistungen, Produktion, Logistik, Beratung, Landwirtschaft, Gesundheitsdienste, Versicherungsagenturen, Energie und Recht.
Laut der Leak-Site der Gruppe, die behauptet, dass ein peruanisches Agrarunternehmen, ein brasilianischer Gesundheitsdienstleister sowie Transport- und Logistikorganisationen in Österreich und Singapur Lösegeld gezahlt haben, haben jedoch bisher nur vier Opfer gezahlt, sagte Palo Alto.
< p>Eine bemerkenswerte Eigenschaft von Prometheus ist, dass es das Branding einer anderen Ransomware-Gruppe in seiner gesamten Infrastruktur verwendet und behauptet, auf der Lösegeldforderung und auf seinen Kommunikationsplattformen „Group of REvil“ zu sein.
< strong>SEE: Eine erfolgreiche Strategie für Cybersicherheit (ZDNet-Sonderbericht) | Bericht als PDF herunterladen (TechRepublic)
REvil ist eine der berüchtigtsten und erfolgreichsten Ransomware-Operationen und fordert eine Reihe hochkarätiger Opfer. Das FBI hat kürzlich den Ransomware-Angriff gegen den Fleischverarbeiter JBS der Gruppe zugeschrieben, die vermutlich von Russland aus funktioniert.
Trotz der Verwendung des Namens REvil scheint es jedoch keine Verbindung zwischen . zu geben die beiden Operationen – und es ist wahrscheinlich, dass Prometheus versucht, den Namen einer etablierten kriminellen Operation zu verwenden, um ihre Chance auf eine Lösegeldzahlung zu erhöhen.
„Da es außer der Referenz des Namens keine solide Verbindung gibt, ist unsere gängige Theorie, dass sie den Namen REvil nutzen, um ihre Zahlungschancen zu erhöhen. Wenn Sie nach REvil suchen, sprechen die Schlagzeilen für sich selbst gegenüber der Suche Prometheus-Ransomware, bei der wahrscheinlich nichts Großes aufgetaucht wäre”, sagte Doel Santos, Threat Intelligence-Analyst bei Unit 42, Palo Alto Networks gegenüber ZDNet.
Forscher stellen fest, dass der Vorgang starke Verbindungen zur Thanos-Ransomware hat.
Thanos-Ransomware wurde erstmals in der ersten Hälfte des Jahres 2020 in Untergrundforen zum Verkauf angeboten, aber das Verhalten und die Infrastruktur sind fast identisch mit Prometheus, was darauf hindeuten könnte, dass Thanos und Prometheus von derselben Gruppe von Kriminellen betrieben werden.
Siehe: Dieses Unternehmen wurde von Ransomware befallen. Hier ist, was sie als nächstes taten und warum sie nicht bezahlt haben
Während die Forscher nicht in der Lage waren, die genaue Methode zu identifizieren, mit der Prometheus an die Opfer geliefert wird, ist bekannt, dass Thanos durch den Kauf von Zugang zu Netzwerken verbreitet wird, die zuvor mit Malware kompromittiert wurden, Brute-Force-Angriffe auf häufig verwendete Passwörter und Phishingph Angriffe.
Nachdem die Opfer mit Ransomware kompromittiert wurden, passt Prometheus das Lösegeld je nach Ziel an, mit Forderungen zwischen 6.000 und 100.000 US-Dollar – eine Zahl, die sich verdoppelt, wenn das Opfer nicht innerhalb einer Woche zahlt.
Das Lösegeld wird in Monero und nicht in Bitcoin verlangt, eine Entscheidung, die wahrscheinlich getroffen wird, weil Monero-Transaktionen schwieriger zu verfolgen sind als Bitcoin – daher ist die Wahrscheinlichkeit geringer, dass die Gruppe entdeckt oder ihre Vermögenswerte von Strafverfolgungsbehörden beschlagnahmt werden.
Es wird angenommen, dass die Gruppe immer noch aktiv ist und so lange weitermachen wird, wie die Angriffe profitabel bleiben.
„Solange Prometheus weiterhin auf gefährdete Organisationen abzielt, wird es weiterhin Kampagnen durchführen“, sagte Santos. „In Zukunft würden wir erwarten, dass diese Gruppe weiterhin Opfer zu ihrer Leak-Site hinzufügt und ihre Techniken nach Bedarf ändert“, fügte er hinzu.
Angesichts der Tatsache, dass Prometheus und andere Ransomware-Gruppen häufig darauf angewiesen sind, Benutzerkonten zu verletzen, um sie einzubetten sich selbst in Netzwerken zu schützen, können Unternehmen zum Schutz vor Ransomware-Angriffen unter anderem die Multi-Faktor-Authentifizierung verwenden.
Die Bereitstellung für alle Benutzer stellt eine zusätzliche Barriere gegen Angriffe dar und macht es für Cyberkriminelle schwieriger, sie auszunutzen. gestohlene Zugangsdaten als Ausgangspunkt für Ransomware-Kampagnen.
MEHR ZUR CYBERSICHERHEIT
Ransomware wächst mit alarmierender Geschwindigkeit, warnt der GCHQ-ChefRansomware-Angriffe sind keine Frage des Ob, sondern des Wann Ransomware: Wie der NHS die Lehren aus WannaCry gezogen hat, um Krankenhäuser vor Angriffen zu schützenDie USA erhalten einen Teil des millionenschweren Lösegelds zurück, das im Colonial Pipeline-Hack gezahlt wurde< /strong>Ransomware ist mittlerweile ein nationales Sicherheitsrisiko. Diese Gruppe glaubt, sie zu besiegen
Verwandte Themen:
Sicherheit TV-Datenverwaltung CXO-Rechenzentren 