Perché il ransomware è una minaccia così grande e come difendi la tua rete da esso? Guarda ora
Un'operazione di ransomware emergente sembra avere collegamenti a un gruppo di criminali informatici veterani nello spazio, mentre tenta anche di sfruttare la reputazione di una delle forme più famose di ransomware.
Il ransomware Prometheus è emerso per la prima volta nel febbraio di quest'anno e non solo i criminali dietro di esso crittografano le reti e richiedono un riscatto per la chiave di decrittazione, ma utilizzano anche tattiche di doppia estorsione e minacciano di far trapelare dati rubati se le loro richieste di criptovaluta non vengono soddisfatte.
L'analisi dei ricercatori di sicurezza informatica di Palo Alto Networks descrive in dettaglio come, come molte operazioni di ransomware nel 2021, il gruppo funziona come un'impresa professionale, arrivando persino a riferirsi alle vittime di attacchi informatici come “clienti” e comunicare con loro tramite un sistema di biglietteria.
I criminali informatici dietro Prometheus affermano di aver colpito finora oltre 30 vittime in tutto il mondo, comprese organizzazioni in Nord America, Europa e Asia. I settori che Prometheus afferma di aver colpito includono governo, servizi finanziari, produzione, logistica, consulenza, agricoltura, servizi sanitari, agenzie assicurative, energia e diritto.
Tuttavia, solo quattro vittime hanno pagato fino ad oggi, secondo il sito di perdite del gruppo che afferma che un'azienda agricola peruviana, un fornitore di servizi sanitari brasiliani e organizzazioni di trasporto e logistica in Austria e Singapore hanno pagato dei riscatti, ha affermato Palo Alto.
< p>Una caratteristica notevole di Prometheus è che utilizza il marchio di un altro gruppo ransomware nella sua infrastruttura, affermando di essere “Gruppo di REvil” sulla richiesta di riscatto e attraverso le sue piattaforme di comunicazione.
< strong>VEDI: Una strategia vincente per la sicurezza informatica (rapporto speciale ZDNet) | Scarica il rapporto in formato PDF (TechRepublic)
REvil è una delle operazioni ransomware più famose e di maggior successo, che miete una serie di vittime di alto profilo. L'FBI ha recentemente attribuito l'attacco ransomware contro il produttore di carne JBS al gruppo, che si ritiene funzioni fuori dalla Russia.
Tuttavia, nonostante l'uso del nome di REvil, non sembra esserci alcun legame tra le due operazioni – ed è probabile che Prometheus stia tentando di utilizzare il nome di un'operazione criminale consolidata per aumentare le loro possibilità di ricevere il pagamento di un riscatto.
“Dal momento che non esiste una connessione solida oltre al riferimento del nome, la nostra teoria corrente è che stanno sfruttando il nome REvil per aumentare le loro possibilità di assicurarsi il pagamento. Se cerchi REvil, i titoli parleranno da soli rispetto alla ricerca Prometheus ransomware in cui probabilmente non sarebbe emerso nulla di grave”, ha detto a ZDNet Doel Santos, analista di intelligence delle minacce presso l'Unità 42, Palo Alto Networks.
I ricercatori notano che l'operazione ha forti legami con il ransomware Thanos.
Il ransomware Thanos è apparso per la prima volta in vendita sui forum sotterranei nella prima metà del 2020, ma il comportamento e l'infrastruttura sono quasi identici a Prometheus, il che potrebbe suggerire che Thanos e Prometheus siano gestiti dallo stesso gruppo di criminali.
Vedi: Questa azienda è stata colpita da un ransomware. Ecco cosa hanno fatto dopo e perché non hanno pagato
Sebbene i ricercatori non siano stati in grado di identificare il metodo esatto con cui Prometheus viene consegnato alle vittime, Thanos è noto per essere distribuito con l'aiuto di acquistare l'accesso a reti che sono state precedentemente compromesse da malware, attacchi di forza bruta contro password comunemente usate e phishing attacchi.
Dopo aver compromesso le vittime con il ransomware, Prometheus adatta il riscatto a seconda dell'obiettivo, con richieste che vanno da $ 6.000 a $ 100.000, una cifra che raddoppia se la vittima non paga entro una settimana.
Il riscatto è richiesto in Monero, piuttosto che in Bitcoin, una decisione probabilmente presa perché le transazioni Monero sono più difficili da tracciare rispetto a Bitcoin, quindi ci sono meno possibilità che il gruppo venga scoperto o che i suoi beni vengano sequestrati dalle forze dell'ordine.
Si ritiene che il gruppo sia ancora attivo e continuerà finché gli attacchi rimarranno redditizi.
“Finché Prometheus continuerà a prendere di mira le organizzazioni vulnerabili, continuerà a condurre campagne”, ha affermato Santos. “In futuro, ci aspetteremmo che questo gruppo continui ad aggiungere vittime al proprio sito di perdite e a modificare le proprie tecniche secondo necessità”, ha aggiunto.
Dato il modo in cui Prometheus e altri gruppi di ransomware spesso si affidano alla violazione degli account utente per incorporare sulle reti, una cosa che le organizzazioni possono fare per proteggersi dagli attacchi ransomware è utilizzare l'autenticazione a più fattori.
La distribuzione a tutti gli utenti fornisce un'ulteriore barriera agli attacchi, rendendo più difficile lo sfruttamento da parte dei criminali informatici credenziali rubate come punto di partenza per le campagne di ransomware.
ALTRO SULLA CYBERSECURITY
Il ransomware sta crescendo a un ritmo allarmante, avverte il capo del GCHQGli attacchi ransomware non sono una questione di se, ma di quando Ransomware: come il servizio sanitario nazionale ha imparato le lezioni di WannaCry per proteggere gli ospedali dagli attacchiGli Stati Uniti recuperano parte del riscatto multimilionario pagato nell'hacking della Colonial Pipeline< /strong>Il ransomware è ora un rischio per la sicurezza nazionale. Questo gruppo pensa di sapere come sconfiggerlo
Argomenti correlati:
Security TV Data Management CXO Data Center 