Waarom is ransomware zo'n grote bedreiging en hoe verdedig je je netwerk hiertegen? Bekijk nu
Een opkomende ransomware-operatie lijkt banden te hebben met een ervaren cybercrimineel groep in de ruimte, terwijl ze ook probeert mee te liften op de reputatie van een van de meest beruchte vormen van ransomware.
De Prometheus-ransomware dook voor het eerst op in februari van dit jaar en niet alleen versleutelen de criminelen erachter netwerken en eisen ze losgeld voor de decoderingssleutel, ze gebruiken ook dubbele afpersingstactieken en dreigen met het lekken van gestolen gegevens als hun eisen voor cryptocurrency niet worden ingewilligd.
Analyse door cybersecurity-onderzoekers van Palo Alto Networks laat zien hoe de groep, zoals bij veel ransomware-operaties in 2021, werkt als een professionele onderneming, zelfs zo ver dat ze de slachtoffers van cyberaanvallen 'klanten' noemt en met hen communiceren via een ticketsysteem.
De cybercriminelen achter Prometheus beweren tot nu toe meer dan 30 slachtoffers over de hele wereld te hebben getroffen, waaronder organisaties in Noord-Amerika, Europa en Azië. Sectoren die Prometheus naar eigen zeggen getroffen heeft, zijn onder meer de overheid, financiële dienstverlening, productie, logistiek, consultancy, landbouw, gezondheidszorg, verzekeringsinstellingen, energie en recht.
Volgens de lekkende site van de groep hebben tot nu toe echter slechts vier slachtoffers betaald, die beweert dat een Peruaans landbouwbedrijf, een Braziliaanse zorgverlener en transport- en logistieke organisaties in Oostenrijk en Singapore losgeld hebben betaald, aldus Palo Alto.
p>Een opmerkelijk kenmerk van Prometheus is dat het de branding van een andere ransomware-groep gebruikt in zijn infrastructuur, en beweert 'Group of REvil' te zijn op de losgeldbrief en op zijn communicatieplatforms.
< strong>ZIE: Een winnende strategie voor cyberbeveiliging (speciaal rapport ZDNet) | Download het rapport als pdf (TechRepublic)
REvil is een van de meest beruchte en meest succesvolle ransomware-operaties en claimt een reeks spraakmakende slachtoffers. De FBI schreef onlangs de ransomware-aanval op vleesverwerker JBS toe aan de groep, waarvan wordt aangenomen dat deze vanuit Rusland werkt.
Ondanks het gebruik van de naam REvil lijkt er echter geen verband te zijn tussen de twee operaties – en het is waarschijnlijk dat Prometheus de naam van een gevestigde criminele operatie probeert te gebruiken om hun kans op het ontvangen van losgeld te vergroten.
“Aangezien er geen andere solide verbinding is dan de referentie van de naam, is onze gangbare theorie dat ze de naam REvil gebruiken om hun kansen op het veiligstellen van betaling te vergroten. Als je naar REvil zoekt, zullen de krantenkoppen voor zichzelf spreken versus zoeken Prometheus-ransomware waar waarschijnlijk niets groots zou zijn gebeurd”, vertelde Doel Santos, analist van bedreigingsinformatie bij Unit 42, Palo Alto Networks aan ZDNet.
Onderzoekers merken op dat de operatie sterke banden heeft met Thanos ransomware.
Thanos ransomware verscheen voor het eerst te koop op ondergrondse fora in de eerste helft van 2020, maar het gedrag en de infrastructuur ervan is bijna identiek aan Prometheus, wat erop zou kunnen wijzen dat Thanos en Prometheus door dezelfde groep criminelen worden gerund.
Zie: Dit bedrijf is getroffen door ransomware. Dit is wat ze vervolgens deden en waarom ze niet betaalden
Hoewel onderzoekers niet in staat zijn geweest de exacte methode te identificeren waarop Prometheus aan slachtoffers wordt geleverd, is bekend dat Thanos wordt verspreid met behulp van het kopen van toegang tot netwerken die eerder zijn aangetast met malware, brute-force-aanvallen op veelgebruikte wachtwoorden en phishing aanvallen.
Na het compromitteren van slachtoffers met ransomware, stemt Prometheus het losgeld af op het doelwit, met eisen variërend van $ 6.000 tot $ 100.000 – een cijfer dat wordt verdubbeld als het slachtoffer niet binnen een week betaalt.
Het losgeld wordt geëist in Monero, in plaats van Bitcoin, een beslissing die waarschijnlijk wordt genomen omdat Monero-transacties moeilijker te volgen zijn dan Bitcoin – dus er is minder kans dat de groep wordt gedetecteerd of dat hun activa in beslag worden genomen door wetshandhavingsoperaties.
Er wordt aangenomen dat de groep nog steeds actief is en zal doorgaan zolang aanvallen winstgevend blijven.
“Zolang Prometheus zich blijft richten op kwetsbare organisaties, zal het campagnes blijven voeren”, aldus Santos. “In de toekomst verwachten we dat deze groep slachtoffers blijft toevoegen aan hun lekkende site en hun technieken indien nodig verandert”, voegde hij eraan toe.
Gezien het feit dat Prometheus en andere ransomware-groepen vaak afhankelijk zijn van het schenden van gebruikersaccounts om in te sluiten zichzelf op netwerken kunnen plaatsen, is een ding dat organisaties kunnen doen om te helpen beschermen tegen ransomware-aanvallen, het gebruik van multi-factor authenticatie.
Het implementeren van dit voor alle gebruikers vormt een extra barrière tegen aanvallen, waardoor het moeilijker wordt voor cybercriminelen om misbruik gestolen inloggegevens als startpunt voor ransomware-campagnes.
MEER OVER CYBERVEILIGHEID
Ransomware groeit in een alarmerend tempo, waarschuwt GCHQ-chefRansomware-aanvallen zijn geen kwestie van of, maar wanneer Ransomware: hoe de NHS de lessen van WannaCry leerde om ziekenhuizen te beschermen tegen aanvallenVS recupereert een deel van miljoenen dollars losgeld betaald in Colonial Pipeline-hack< /strong>Ransomware vormt nu een nationaal veiligheidsrisico. Deze groep denkt te weten hoe ze het moet verslaan
Verwante onderwerpen:
Beveiliging TV-gegevensbeheer CXO-datacenters 