Μια αναδυόμενη επιχείρηση ransomware φαίνεται να συνδέεται με μια βετεράνικη ομάδα κυβερνοεγκληματιών, προσπαθώντας να αποκτήσει τη φήμη μιας από τις πιο διαβόητες μορφές ransomware. Πρόκειται για το Prometheus ransomware που εμφανίστηκε για πρώτη φορά τον Φεβρουάριο του τρέχοντος έτους. Οι κυβερνοεγκληματίες που βρίσκονται πίσω από αυτό όχι μόνο κρυπτογραφούν δίκτυα και απαιτούν, από τα θύματα, λύτρα για να δώσουν κλειδί αποκρυπτογράφησης, αλλά χρησιμοποιούν επίσης τακτική διπλού εκβιασμού και απειλούν ότι θα διαρρεύσουν τα κλεμμένα δεδομένα, εάν δεν ικανοποιηθούν τα αιτήματά τους για πληρωμή λύτρων σε κρυπτονομίσματα.
Η ανάλυση από ερευνητές ασφαλείας της Palo Alto Networks αναφέρει πώς, όπως πολλές επιχειρήσεις ransomware το 2021, η επιχείρηση του Prometheus λειτουργεί σαν μια επαγγελματική επιχείρηση, ακόμη και στο βαθμό που αναφέρεται στα θύματα των κυβερνοεπιθέσεων ως “πελάτες” κι επικοινωνεί μαζί τους μέσω ενός συστήματος ticketing.
Οι κυβερνοεγκληματίες που βρίσκονται πίσω από το Prometheus, ισχυρίζονται ότι έχουν «χτυπήσει» πάνω από 30 οργανισμούς σε όλο τον κόσμο μέχρι στιγμής, συμπεριλαμβανομένων οργανισμών που εδρεύουν στην Ευρώπη, τη Βόρεια Αμερική και την Ασία. Αναφέρουν επίσης ότι μεταξύ των θυμάτων τους περιλαμβάνονται κυβερνήσεις, ασφαλιστικές υπηρεσίες, χρηματοοικονομικές υπηρεσίες, καθώς και οι κλάδοι των κατασκευών, του εφοδιασμού, της συμβουλευτικής, της γεωργίας, της υγειονομικής περίθαλψης, της νομικής και της ενέργειας.
Διαβάστε επίσης: Ransomware επίθεση έπληξε εταιρεία που παρέχει υπηρεσίες στο Κογκρέσο των ΗΠΑ
Ωστόσο, μόνο τέσσερα θύματα έχουν πληρώσει μέχρι σήμερα τα απαιτούμενα λύτρα, σύμφωνα με το leak site της ομάδας, που ισχυρίζεται ότι μια περουβιανή γεωργική εταιρεία, ένας βραζιλιάνικος πάροχος υπηρεσιών υγειονομικής περίθαλψης και οργανισμοί μεταφοράς και logistics στην Αυστρία και τη Σιγκαπούρη, πλήρωσαν λύτρα.
Ένα αξιοσημείωτο χαρακτηριστικό του Prometheus ransomware είναι ότι χρησιμοποιεί την επωνυμία μιας άλλης ransomware ομάδας, ισχυριζόμενο ότι είναι η ομάδα του REvil στο ransom note και σε όλες τις πλατφόρμες επικοινωνίας του.
Το REvil είναι μια από τις πιο διαβόητες και πιο επιτυχημένες επιχειρήσεις ransomware, απαριθμώντας πολυάριθμα θύματα υψηλού προφίλ. Το FBI απέδωσε πρόσφατα τη ransomware επίθεση που υπέστη ο προμηθευτής κρέατος «JBS» στην ομάδα, η οποία πιστεύεται ότι λειτουργεί έξω από τη Ρωσία.
Δείτε ακόμη: Λευκός Οίκος: Καλεί τις επιχειρήσεις να πάρουν σοβαρά τις ransomware επιθέσεις
Ωστόσο, παρά τη χρήση του ονόματος του REvil, δεν φαίνεται να υπάρχει σύνδεση μεταξύ των δύο επιχειρήσεων. Ενδέχεται επίσης το Prometheus να επιχειρεί να χρησιμοποιήσει το όνομα μιας καθιερωμένης εγκληματικής επιχείρησης, για να αυξήσει την πιθανότητα να λάβει λύτρα.
Οι ερευνητές επισημαίνουν ακόμη ότι η εν λόγω επιχείρηση έχει ισχυρούς «δεσμούς» με το Thanos ransomware. Το Thanos ransomware εμφανίστηκε για πρώτη φορά σε υπόγεια φόρουμ το πρώτο εξάμηνο του 2020, αλλά η συμπεριφορά και η υποδομή του είναι σχεδόν πανομοιότυπες με εκείνες του Prometheus, κάτι που θα μπορούσε να υποδηλώνει ότι το Thanos και το Prometheus διευθύνονται από την ίδια ομάδα κυβερνοεγκληματιών.
Ενώ οι ερευνητές δεν μπόρεσαν να προσδιορίσουν την ακριβή μέθοδο με την οποία διανέμεται το Prometheus στα θύματα, το Thanos είναι γνωστό ότι διανέμεται με τη βοήθεια πρόσβασης σε δίκτυα που έχουν προηγουμένως παραβιαστεί με malware, brute-force επιθέσεις σε κωδικούς πρόσβασης, καθώς και phishing επιθέσεις.
Αφού πλήξουν τα θύματα με το ransomware, οι κυβερνοεγκληματίες του Prometheus προσαρμόζουν τα λύτρα ανάλογα με τον στόχο, με τα αιτήματά τους να κυμαίνονται από 6.000 έως 100.000$ – ποσά που διπλασιάζονται εάν το εκάστοτε θύμα δεν πληρώσει μέσα σε μια εβδομάδα.
Τα λύτρα απαιτούνται σε Monero και όχι σε Bitcoin, μια απόφαση που πιθανότατα ελήφθη επειδή οι συναλλαγές σε Monero είναι πιο δύσκολο να εντοπιστούν συγκριτικά με εκείνες σε Bitcoin – οπότε υπάρχουν λιγότερες πιθανότητες να εντοπιστεί η ομάδα ή να κατασχεθούν τα περιουσιακά της στοιχεία από επιχειρήσεις επιβολής του νόμου.
Πρόταση: BlackCocaine ransomware: Το νέο malware στο τοπίο των απειλών
Πιστεύεται ότι η ομάδα εξακολουθεί να είναι ενεργή και θα συνεχιστεί όσο οι επιθέσεις παραμένουν κερδοφόρες.
Λαμβάνοντας υπόψη τον τρόπο με τον οποίο το Prometheus και άλλες ransomware ομάδες συνήθως βασίζονται στην παραβίαση λογαριασμών χρηστών για να εισβάλουν σε δίκτυα, ένα πράγμα που μπορούν να κάνουν οι οργανισμοί για να προστατευθούν από τέτοιες επιθέσεις, είναι να χρησιμοποιούν έλεγχο ταυτότητας πολλών παραγόντων (MFA).
Η ανάπτυξη αυτού σε όλους τους χρήστες παρέχει ένα επιπλέον εμπόδιο στις επιθέσεις, καθιστώντας πιο δύσκολο στους κυβερνοεγκληματίες να εκμεταλλευτούν κλεμμένα credentials ως αφετηρία για ransomware εκστρατείες.
Πηγή πληροφοριών: zdnet.com
