Một chủng ransomware đang nổi lên trong bối cảnh mối đe dọa tuyên bố đã xâm nhập vào 30 tổ chức chỉ trong 4 tháng kể từ khi nó đi vào hoạt động, dựa trên mối liên hệ của một tổ chức ransomware khét tiếng.
Được quan sát lần đầu vào tháng 2 năm 2021, “Prometheus“là một nhánh của một biến thể ransomware nổi tiếng khác được gọi là Thanos, trước đó đã được triển khai chống lại các tổ chức nhà nước ở Trung Đông và Bắc Phi vào năm ngoái.
Các thực thể bị ảnh hưởng được cho là chính phủ, dịch vụ tài chính, sản xuất, hậu cần, tư vấn, nông nghiệp, dịch vụ chăm sóc sức khỏe, cơ quan bảo hiểm, năng lượng và công ty luật ở Hoa Kỳ, Vương quốc Anh và hàng chục quốc gia khác ở châu Á, châu Âu, Trung Đông, và Nam Mỹ, theo nghiên cứu mới được công bố bởi đội tình báo mối đe dọa thuộc Đơn vị 42 của Palo Alto Networks.
Giống như các băng đảng ransomware khác, Prometheus tận dụng các chiến thuật tống tiền kép và lưu trữ một trang web rò rỉ web đen, nơi nó đặt tên và làm xấu mặt các nạn nhân mới và cung cấp dữ liệu bị đánh cắp để mua, đồng thời cố gắng đưa một chút chuyên nghiệp vào tội phạm của mình các hoạt động.
“Prometheus hoạt động như một doanh nghiệp chuyên nghiệp”, Doel Santos, nhà phân tích tình báo về mối đe dọa của Đơn vị 42, cho biết. “Nó gọi nạn nhân của nó là ‘khách hàng’, giao tiếp với họ bằng cách sử dụng hệ thống bán vé dịch vụ khách hàng để cảnh báo họ khi thời hạn thanh toán sắp đến và thậm chí sử dụng đồng hồ để đếm ngược giờ, phút và giây đến thời hạn thanh toán.”
Tuy nhiên, chỉ có 4 trong số 30 tổ chức bị ảnh hưởng đó chọn trả tiền chuộc cho đến nay, phân tích của công ty an ninh mạng tiết lộ, bao gồm một công ty nông nghiệp Peru, một nhà cung cấp dịch vụ chăm sóc sức khỏe của Brazil, và hai tổ chức vận tải và hậu cần ở Áo và Singapore.
Điều đáng chú ý là mặc dù Prometheus có liên kết chặt chẽ với Thanos, băng nhóm này vẫn tuyên bố là một “nhóm của REvil, “một trong những băng đảng ransomware-as-a-service (RaaS) phổ biến và khét tiếng nhất trong những năm gần đây, mà các nhà nghiên cứu suy đoán có thể là một nỗ lực để làm chệch hướng sự chú ý khỏi Thanos hoặc một mưu đồ cố ý lừa nạn nhân trả tiền bằng cách cõng. một hoạt động được thiết lập.
Mặc dù lộ trình xâm nhập của ransomware vẫn chưa rõ ràng, nhưng có thể nhóm này đã mua quyền truy cập vào các mạng mục tiêu hoặc dàn dựng các cuộc tấn công lừa đảo trực tuyến và brute-force để có được quyền truy cập ban đầu. Sau một thỏa hiệp thành công, Prometheus modus operandi liên quan đến việc chấm dứt các quy trình liên quan đến phần mềm sao lưu và bảo mật trên hệ thống để khóa các tệp sau các rào cản mã hóa.
“Các nhà khai thác phần mềm tống tiền Prometheus tạo ra một trọng tải duy nhất cho mỗi nạn nhân, được sử dụng cho trang web thương lượng của họ để khôi phục các tệp”, Santos cho biết thêm, nhu cầu tiền chuộc dao động trong khoảng từ 6.000 đô la đến 100.000 đô la tùy thuộc vào tổ chức nạn nhân, mức giá sẽ tăng gấp đôi nếu nạn nhân không trả trong khoảng thời gian được chỉ định.
Sự phát triển này cũng diễn ra khi các nhóm tội phạm mạng ngày càng nhắm vào các thiết bị SonicWall để xâm phạm mạng công ty và triển khai ransomware. Một báo cáo được CrowdStrike xuất bản trong tuần này tìm bằng chứng về các lỗ hổng truy cập từ xa (CVE-2019-7481) trong các thiết bị VPN SonicWall SRA 4600 đang bị khai thác làm véc tơ truy cập ban đầu cho các cuộc tấn công ransomware nhắm vào các tổ chức trên toàn thế giới.
