En framväxande ransomware-åtgärd verkar ha länkar till en veteran cyberkriminell grupp i rymden – samtidigt som man försöker rädda rykten om en av de mest ökända formerna av ransomware.
Prometheus ransomware uppstod först i februari i år och inte bara kriminella bakom det krypterar nätverk och kräver en lösen för dekrypteringsnyckeln, de använder också dubbel utpressningstaktik och kommer att hota att läcka stulna data om deras krav på kryptovaluta inte uppfylls.
Analys av cybersäkerhetsforskare vid Palo Alto Networks beskriver hur, som många ransomware-operationer 2021, gruppen körs som ett professionellt företag, till och med att gå så långt att beteckna offer för cyberattacker som “kunder” kommunicera med dem via ett biljettsystem.
Cyberbrottslingarna bakom Prometheus hävdar att de hittills har slagit över 30 offer runt om i världen, inklusive organisationer i Nordamerika, Europa och Asien. Sektorer som Prometheus påstår sig ha drabbat inkluderar regering, finansiella tjänster, tillverkning, logistik, konsult, jordbruk, sjukvårdstjänster, försäkringsbyråer, energi och juridik.
Men endast fyra offer har betalat hittills, enligt gruppens läckagesida som hävdar att ett peruanskt jordbruksföretag, en brasiliansk vårdgivare och transport- och logistikorganisationer i Österrike och Singapore betalade lösen, sa Palo Alto.
< p> En anmärkningsvärd egenskap hos Prometheus är att den använder varumärket för en annan ransomwaregrupp över sin infrastruktur, och hävdar att den är 'Group of REvil' på lösenordet och över sina kommunikationsplattformar.
< stark> SE: En vinnande strategi för cybersäkerhet (ZDNet-specialrapport) | Ladda ner rapporten som en PDF (TechRepublic)
REvil är en av de mest ökända och mest framgångsrika ransomware-operationerna och hävdar en rad högprofilerade offer. FBI tillskrev nyligen ransomware-attacken mot köttprocessorn JBS till gruppen, som tros fungera från Ryssland.
Trots användningen av REvils namn verkar det inte finnas någon koppling mellan de två operationerna – och det är troligt att Prometheus försöker använda namnet på en etablerad kriminell operation för att öka deras chans att få en lösenutbetalning.
“Eftersom det inte finns någon solid anslutning förutom referensen till namnet, är vår löpteori att de använder REvil-namnet för att öka sina chanser att säkra betalning. Om du söker efter REvil kommer rubrikerna att tala för sig själva kontra att söka Prometheus ransomware där förmodligen inget större skulle ha dykt upp, “sa Doel Santos, hotinformationsanalytiker vid enhet 42, Palo Alto Networks till ZDNet.
Forskare noterar att operationen har starka länkar till Thanos ransomware.
Thanos ransomware uppstod först för försäljning på underjordiska forum under första halvåret 2020 men beteendet och infrastrukturen för det är nästan identiskt med Prometheus, vilket kan tyda på att Thanos och Prometheus drivs av samma grupp brottslingar.
Se: Detta företag drabbades av ransomware. Här är vad de gjorde nästa och varför de inte betalade
Medan forskare inte har kunnat identifiera den exakta metoden Prometheus levereras till offren, är det känt att Thanos distribueras med hjälp av att köpa tillgång till nätverk som tidigare har äventyrats med skadlig kod, brute-force-attacker mot vanliga lösenord och nätfiske. attacker.
Efter att ha komprometterat offer med ransomware skräddarsyr Prometheus lösensumman beroende på målet, med krav som sträcker sig från $ 6000 till $ 100.000 – en siffra som fördubblas om offret inte betalar inom en vecka.
Återlösningen krävs i Monero, snarare än i Bitcoin, ett beslut som troligen fattas eftersom Monero-transaktioner är svårare att spåra än Bitcoin – så det finns mindre chans att gruppen upptäcks eller att deras tillgångar beslagtagits av brottsbekämpande åtgärder.
Man tror att gruppen fortfarande är aktiv och kommer att fortsätta så länge attackerna förblir lönsamma.
“Så länge Prometheus fortsätter att rikta sig mot utsatta organisationer kommer det att fortsätta att köra kampanjer”, säger Santos. “Framöver skulle vi förvänta oss att den här gruppen fortsätter att lägga offer till sin läcksida och ändrar deras tekniker efter behov”, tillade han.
Med tanke på hur Prometheus och andra ransomwaregrupper ofta förlitar sig på att bryta användarkonton för att bädda in dem själva på nätverk, en sak som organisationer kan göra för att skydda mot ransomware-attacker är att använda multifaktorautentisering.
Att distribuera detta till alla användare ger ytterligare ett hinder för attacker, vilket gör det svårare för cyberbrottslingar att utnyttja stulna referenser som utgångspunkt för ransomwarekampanjer.
MER PÅ CYBERSÄKERHET
Ransomware växer i en alarmerande takt, varnar GCHQ-chef Ransomware-attacker är inte en fråga om, utan när < Ransomware: Hur NHS lärde sig lärdomarna av WannaCry för att skydda sjukhus från attacker USA återvinner en del av en miljon dollar lösen som betalas i Colonial Pipeline hack/stark> Ransomware är nu en nationell säkerhetsrisk. Den här gruppen tror att den vet hur man besegrar den
Relaterade ämnen:
Säkerhet TV-datahantering CXO-datacenter 