Hvorfor er løsepenger så stor trussel, og hvordan forsvarer du nettverket ditt mot det? Se nå
En ny ransomware-operasjon ser ut til å ha lenker til en veteran cyberkriminell gruppe i verdensrommet – mens du også prøver å snu ryggen til omdømmet til en av de mest beryktede former for ransomware.
Prometheus ransomware dukket først opp i februar i år, og ikke bare krypterer kriminelle bak nettverk og krever løsepenger for dekrypteringsnøkkelen, de bruker også dobbel utpressingstaktikk og vil true med å lekke stjålne data hvis deres krav til kryptovaluta ikke blir oppfylt.
Analyse av cybersecurity-forskere ved Palo Alto Networks beskriver hvordan, som mange ransomware-operasjoner i 2021, gruppen driver som en profesjonell bedrift, og til og med går så langt som å omtale ofre for cyberangrep som “kunder” og kommunisere med dem via et billettsystem.
Cyberkriminelle bak Prometheus hevder å ha truffet over 30 ofre over hele verden så langt, inkludert organisasjoner i Nord-Amerika, Europa og Asia. Sektorer Prometheus hevder å ha truffet inkluderer myndigheter, finansielle tjenester, produksjon, logistikk, rådgivning, jordbruk, helsetjenester, forsikringsbyråer, energi og lov.
Imidlertid har bare fire ofre betalt til dags dato, ifølge gruppens lekkasjested som hevder at et peruansk jordbruksfirma, en brasiliansk helsetjenesteyter og transport- og logistikkorganisasjoner i Østerrike og Singapore betalte løsepenger, sa Palo Alto.
< p> Et bemerkelsesverdig trekk ved Prometheus er at den bruker merkevaren til en annen ransomware-gruppe på tvers av infrastrukturen, og hevder å være 'Group of REvil' på løsepenger og på tvers av kommunikasjonsplattformene.
< sterk> SE: En vinnende strategi for cybersikkerhet (ZDNet spesialrapport) | Last ned rapporten som en PDF (TechRepublic)
REvil er en av de mest beryktede og mest vellykkede ransomware-operasjonene, og hevder en rekke høyprofilerte ofre. FBI tilskrev nylig ransomware-angrepet mot kjøttbehandler JBS til gruppen, som antas å fungere ut av Russland.
Til tross for bruken av REvils navn ser det ikke ut til å være noen sammenheng mellom de to operasjonene – og det er sannsynlig at Prometheus prøver å bruke navnet på en etablert kriminell aksjon for å øke sjansen for å motta løsepenger.
“Siden det ikke er noen solid forbindelse annet enn referansen til navnet, er vår løpeteori at de utnytter REvil-navnet for å øke sjansene for å sikre betaling. Hvis du søker etter REvil, vil overskriftene snakke for seg selv kontra å søke Prometheus ransomware der sannsynligvis ikke noe større ville ha kommet opp, “sa Doel Santos, trusseletterretningsanalytiker ved enhet 42, Palo Alto Networks til ZDNet.
Forskere bemerker at operasjonen har sterke lenker til Thanos ransomware.
Thanos ransomware dukket først opp for salg på underjordiske fora i første halvdel av 2020, men oppførselen og infrastrukturen til den er nesten identisk med Prometheus, noe som kan tyde på at Thanos og Prometheus drives av samme gruppe kriminelle.
Se: Dette selskapet ble rammet av ransomware. Her er hva de gjorde neste gang, og hvorfor de ikke betalte opp
Mens forskere ikke har vært i stand til å identifisere den nøyaktige metoden Prometheus leveres til ofrene, er det kjent at Thanos distribueres ved hjelp av å kjøpe tilgang til nettverk som tidligere har blitt kompromittert med skadelig programvare, brute-force-angrep mot ofte brukte passord og phishing. angrep.
Etter å ha kompromittert ofre med løsepenger, skreddersyr Prometheus løsepenger avhengig av målet, med krav fra $ 6000 til $ 100.000 – et tall som er doblet hvis offeret ikke betaler innen en uke.
Gjenløsningen kreves i Monero, i stedet for Bitcoin, en beslutning som sannsynligvis er gjort fordi Monero-transaksjoner er vanskeligere å spore enn Bitcoin – så det er mindre sjanse for at gruppen blir oppdaget eller at eiendelene deres blir beslaglagt av politimyndigheter.
Det antas at gruppen fortsatt er aktiv og vil fortsette så lenge angrep forblir lønnsomme.
“Så lenge Prometheus fortsetter å målrette mot sårbare organisasjoner, vil det fortsette å kjøre kampanjer,” sa Santos. “Fremover ville vi forvente at denne gruppen fortsetter å legge ofre til lekkasjesiden, og endrer teknikkene etter behov,” la han til.
Gitt hvordan Prometheus og andre ransomware-grupper ofte stoler på å bryte brukerkontoer for å bygge inn seg selv på nettverk, en ting som organisasjoner kan gjøre for å beskytte mot ransomware-angrep, er å bruke flerfaktorautentisering.
Å distribuere dette til alle brukere gir en ekstra barriere for angrep, noe som gjør det vanskeligere for nettkriminelle å utnytte. stjålet legitimasjon som utgangspunkt for ransomwarekampanjer.
MER PÅ CYBERSIKRIGHET
Ransomware vokser i en alarmerende hastighet, advarer GCHQ-sjef Ransomware-angrep er ikke et spørsmål om, men når < Ransomware: Hvordan NHS lærte lærdommen til WannaCry for å beskytte sykehus mot angrep USA gjenoppretter en del av løsepenger på flere millioner dollar betalt i Colonial Pipeline hack Ransomware er nå en nasjonal sikkerhetsrisiko. Denne gruppen tror at de vet hvordan de skal beseire den
Relaterte emner:
Sikkerhet TV Data Management CXO Data Centers 