Тази нова група за рансъмуер твърди, че до момента е нарушила над 30 организации

Изглежда, че възникващата операция за изкупване има връзки към ветеран кибер престъпна група в космоса – като същевременно се опитва да се върне на репутацията на една от най-известните форми на рансъмуер.

Рансъмуерът Prometheus се появи за първи път през февруари тази година и не само, че престъпниците зад него криптират мрежи и изискват откуп за ключа за дешифриране, те също използват тактики за двойно изнудване и ще заплашат да изтекат откраднати данни, ако исканията им за криптовалута не бъдат изпълнени.

Анализ от изследователи по киберсигурност в Palo Alto Networks подробно описва как, подобно на много операции с рансъмуер през 2021 г., групата работи като професионално предприятие, дори стига дотам, че жертвите на кибератаки се отнасят като „клиенти“ и комуникират с тях чрез билетна система.

Кибер престъпниците зад „Прометей“ твърдят, че досега са удряли над 30 жертви по целия свят, включително организации в Северна Америка, Европа и Азия. Секторите “Прометей” твърдят, че са засегнати, включват правителство, финансови услуги, производство, логистика, консултации, селско стопанство, здравни услуги, застрахователни агенции, енергетика и закон.

Досега обаче само четири жертви са платили, според сайта за течове на групата, който твърди, че перуанска земеделска компания, бразилски доставчик на здравни услуги и транспортни и логистични организации в Австрия и Сингапур са платили откуп, каза Пало Алто.

Една забележителна черта на Prometheus е, че той използва марката на друга група за изкупване в своята инфраструктура, твърдейки, че е „Група на REvil“ в бележката за откупа и в своите комуникационни платформи.

ВИЖТЕ: Печеливша стратегия за киберсигурност (Специален доклад на ZDNet) | Изтеглете отчета като PDF (TechRepublic)

REvil е една от най-скандалните и най-успешните операции с рансъмуер, взимаща поредица от известни жертви. Наскоро ФБР приписа атаката на рансъмуера срещу месопреработвателя JBS на групата, за която се смята, че работи извън Русия.

Въпреки това, въпреки използването на името на REvil, не изглежда да има връзка между двете операции – и вероятно Прометей се опитва да използва името на установена престъпна операция, за да увеличи шансовете им да получат откуп .

“Тъй като няма солидна връзка, различна от референтната на името, нашата теория за работа е, че те използват REvil името, за да увеличат шансовете си за осигуряване на плащане. Ако търсите REvil, заглавията ще говорят сами за себе си в сравнение с търсенето Рансъмуер Prometheus, където вероятно нямаше да се появи нищо по-важно, “каза Doel Santos, анализатор на разузнавателните заплахи в блок 42, Palo Alto Networks пред ZDNet.

Изследователите отбелязват, че операцията има силни връзки с рансъмуера на Thanos.

Рансъмуерът Thanos се появи за първи път за продажба на подземни форуми през първата половина на 2020 г., но поведението и инфраструктурата му са почти идентични с Prometheus, което може да предполага, че Thanos и Prometheus се управляват от една и съща група престъпници.

Вижте: Тази компания беше засегната от рансъмуер. Ето какво направиха след това и защо не платиха

Въпреки че изследователите не са успели да идентифицират точния метод, който Прометей се доставя на жертвите, известно е, че Танос се разпространява с помощта на закупуване на достъп до мрежи, които преди това са били компрометирани със злонамерен софтуер, груби атаки срещу често използвани пароли и фишинг атаки.

След като компрометира жертвите с изкупващ софтуер, Прометей приспособява откупа в зависимост от целта, като исканията варират от 6 000 до 100 000 долара – цифра, която се удвоява, ако жертвата не плати в рамките на една седмица.

Откупът се изисква в Monero, а не в Bitcoin, решение, което вероятно е взето, тъй като транзакциите на Monero са по-трудни за проследяване от Bitcoin – така че има по-малък шанс групата да бъде открита или активите им да бъдат конфискувани от правоприлагащите операции.

Смята се, че групата все още е активна и ще продължи, докато атаките остават печеливши.

“Докато Прометей продължава да се насочва към уязвими организации, той ще продължи да провежда кампании”, каза Сантос. “В бъдеще бихме очаквали тази група да продължи да добавя жертви към мястото си на изтичане и да променя техниките си, ако е необходимо”, добави той.

Като се има предвид как Prometheus и други групи за рансъмуер често разчитат на нарушаване на потребителски акаунти, за да се вграждат в мрежи, едно нещо, което организациите могат да направят, за да защитят срещу атаки на ransomware, е използването на многофакторно удостоверяване.

Разполагането на това на всички потребители предоставя допълнителна бариера за атаки, което затруднява кибер престъпниците да използват откраднати идентификационни данни като отправна точка за кампании за рансъмуер.

Публикациите се превеждат автоматично с google translate

Източник: www.zdnet.com