Eine aufkommende Ransomware-Operation scheint Verbindungen zu einer erfahrenen Cyberkriminellen-Gruppe im Weltraum zu haben – und versucht gleichzeitig, den Ruf einer der berüchtigtsten Formen von Ransomware zu bergen.
Prometheus Ransomware erstmals im Februar dieses Jahres aufgetaucht und die Kriminellen dahinter verschlüsseln nicht nur Netzwerke und fordern ein Lösegeld für den Entschlüsselungsschlüssel, sie verwenden auch doppelte Erpressungstaktiken und drohen, gestohlene Daten preiszugeben, wenn ihre Forderungen nach Kryptowährung nicht erfüllt werden.
Analyse von Cybersicherheitsforscher bei Palo Alto Networks beschreibt, wie der Konzern wie viele Ransomware-Operationen im Jahr 2021 wie ein professionelles Unternehmen funktioniert und Opfer von Cyberangriffen sogar als „Kunden“ bezeichnet und über ein Ticketsystem mit ihnen kommuniziert.
Die Cyberkriminellen hinter Prometheus behaupten, bisher über 30 Opfer auf der ganzen Welt getroffen zu haben, darunter Organisationen in Nordamerika, Europa und Asien. Zu den Sektoren, die Prometheus nach eigenen Angaben getroffen hat, gehören Regierung, Finanzdienstleistungen, Produktion, Logistik, Beratung, Landwirtschaft, Gesundheitsdienste, Versicherungsagenturen, Energie und Recht.
Laut der Leak-Site der Gruppe, die behauptet, ein peruanisches Agrarunternehmen, ein brasilianischer Gesundheitsdienstleister sowie Transport- und Logistikunternehmen in Österreich und Singapur hätten Lösegeld gezahlt, sagten Palo Alto.
Eine bemerkenswerte Eigenschaft von Prometheus ist, dass es das Branding einer anderen Ransomware-Gruppe in seiner gesamten Infrastruktur verwendet und behauptet, auf der Lösegeldforderung und auf seinen Kommunikationsplattformen „Group of REvil“ zu sein.
SEHEN: Eine erfolgreiche Strategie für Cybersicherheit (ZDNet-Sonderbericht) | Laden Sie den Bericht als PDF herunter (TechRepublic)
REvil ist eine der berüchtigtsten und erfolgreichsten Ransomware-Operationen, behauptet eine Reihe von hochkarätigen Opfern. Das FBI hat kürzlich zugeschrieben der Ransomware-Angriff gegen den Fleischverarbeiter JBS an die Gruppe, von der angenommen wird, dass sie von Russland aus arbeitet.
Trotz der Verwendung von REvils Namen scheint es jedoch keine Verbindung zwischen den beiden Operationen zu geben – und es ist wahrscheinlich, dass Prometheus versucht, den Namen einer etablierten kriminellen Operation zu verwenden, um ihre Chance auf eine Lösegeldzahlung zu erhöhen .
„Da es außer der Referenz des Namens keine solide Verbindung gibt, ist unsere gängige Theorie, dass sie den Namen REvil nutzen, um ihre Zahlungschancen zu erhöhen. Wenn Sie nach REvil suchen, sprechen die Schlagzeilen für sich selbst gegenüber der Suche nach Prometheus-Ransomware, bei der wahrscheinlich nichts Großes aufgetaucht wäre“, sagte Doel Santos, Threat Intelligence-Analyst bei Unit 42, Palo Alto Networks gegenüber ZDNet.
Forscher stellen fest, dass die Operation starke Verbindungen zu hat Thanos Ransomware.
Thanos-Ransomware wurde erstmals in der ersten Hälfte des Jahres 2020 in Untergrundforen zum Verkauf angeboten, aber das Verhalten und die Infrastruktur sind fast identisch mit Prometheus, was darauf hindeuten könnte, dass Thanos und Prometheus von derselben Gruppe von Kriminellen betrieben werden.
Während die Forscher nicht in der Lage waren, die genaue Methode zu identifizieren, mit der Prometheus an die Opfer geliefert wird, ist bekannt, dass Thanos mit Hilfe des Kaufs von Zugang zu zuvor verkauften Netzwerken verbreitet wird mit Malware kompromittiert, Brute-Force-Angriffe gegen häufig verwendete Passwörter und Phishing-Attacken.
Nachdem Prometheus Opfer mit Ransomware kompromittiert hat, passt Prometheus das Lösegeld je nach Ziel an, mit Forderungen zwischen 6,000 und 100,000 US-Dollar – eine Zahl, die sich verdoppelt, wenn das Opfer nicht innerhalb einer Woche zahlt.
Das Lösegeld wird in Monero verlangt, statt Bitcoin, wahrscheinlich eine Entscheidung getroffen weil Monero-Transaktionen schwieriger zu verfolgen sind als Bitcoin – so ist die Wahrscheinlichkeit geringer, dass die Gruppe oder ihre Vermögenswerte, die von Strafverfolgungsbehörden beschlagnahmt wurden.
Es wird angenommen, dass die Gruppe immer noch aktiv ist und so lange weitermachen wird, wie Angriffe profitabel bleiben.
„Solange Prometheus auf gefährdete Organisationen abzielt, wird es weiterhin Kampagnen durchführen“, sagte Santos. „In Zukunft würden wir erwarten, dass diese Gruppe ihrer Leckstelle weiterhin Opfer hinzufügt und ihre Techniken nach Bedarf ändert“, fügte er hinzu.
Angesichts der Tatsache, dass Prometheus und andere Ransomware-Gruppen häufig darauf angewiesen sind, Benutzerkonten zu verletzen, um sich in Netzwerke einzubetten, können Unternehmen zum Schutz vor Ransomware-Angriffen Folgendes tun: Verwenden Sie die Multi-Faktor-Authentifizierung.
Die Bereitstellung für alle Benutzer stellt eine zusätzliche Barriere für Angriffe dar und erschwert es Cyberkriminellen, gestohlene Anmeldeinformationen als Ausgangspunkt für Ransomware-Kampagnen zu nutzen.
MEHR ÜBER CYBERSECURITY
Münzsmart. Beste Bitcoin-Börse in Europa
Quelle: https://www.zdnet.com/article/this-new-ransomware-group-claims-to-have-breached-over-30-organisations-so-far/#ftag=RSSbaffb68
