據外媒報道,在威脅領域中,一個新興的勒索軟件聲稱,自從它利用一個臭名昭著的勒索軟件集團的信息在運營以來的短短4個月內已經攻破了30個組織。據悉,Prometheus是另一種著名勒索軟件Thanos的分支,於2021年2月首次被發現,該軟件去年曾被用於對付中東和北非的國有組織。
根據Palo Alto Networks的Unit 42威脅情報小組發布的新研究顯示,受影響的實體據信包括了美國、英國的政府、金融服務、製造業、物流、諮詢、農業、醫療保健服務、保險機構、能源和律師事務所以及亞洲、歐洲、中東和南美的十幾個國家。
跟其他勒索軟件團伙一樣,Prometheus也利用雙重勒索戰術建立了一個暗網泄露網站,在那裡,它會點名並羞辱新受害者並提供被竊取的數據供購買,同時設法為其犯罪活動添加一種專業的偽裝。
“Prometheus的運作就像一個專業企業,”Unit 42威脅情報分析師Doel Santos說道,“它把受害者稱為‘顧客’,使用客戶服務售票系統跟他們溝通,在付款截止日期臨近時提醒他們,甚至用鐘錶倒計時付款截止日期。”
然而這家網絡安全公司的分析顯示,到目前為止,30家受影響的組織中只有4家選擇支付贖金,它們是一家秘魯農業公司、一家巴西醫療服務供應商、奧地利和新加坡的兩家運輸和物流組織。
值得注意的是,儘管Prometheus跟Thanos有着密切聯繫,但該團伙自稱是“REvil集團”,是近年來最多產、最臭名昭著的勒索軟件服務(RaaS)集團之一,研究人員推測,這可能是為了轉移人們對Thanos的注意力,也可能是為了利用既定的行動誘騙受害者付錢。
雖然該勒索軟件的入侵路徑尚不清楚,但預計該組織會購買進入目標網絡的權限或採用魚叉式釣魚和暴力攻擊來獲得最初的訪問權限。在成功達成妥協后,Prometheus的做法是終止系統上跟備份和安全軟件相關的進程進而將文件鎖在加密屏障之後。
與此同時,網絡犯罪集團正在越來越多地將SonicWall設備作為攻擊目標以此來攻破企業網絡並部署勒索軟件。CrowdStrike本周發布的一份報告發現,SonicWall SRA 4600 VPN設備中的遠程訪問漏洞(CVE-2019-7481)被利用作為針對全球組織的勒索軟件攻擊的初始訪問載體。