Một hoạt động ransomware mới nổi dường như có liên kết với một nhóm tội phạm mạng kỳ cựu trong không gian – đồng thời cố gắng lợi dụng danh tiếng của một trong những dạng ransomware khét tiếng nhất.
Prometheus ransomware lần đầu tiên xuất hiện vào tháng 2 năm nay và bọn tội phạm đằng sau nó không chỉ mã hóa mạng và yêu cầu tiền chuộc cho khóa giải mã mà chúng còn sử dụng thủ đoạn tống tiền kép và sẽ đe dọa rò rỉ dữ liệu bị đánh cắp nếu nhu cầu về tiền điện tử của họ không được đáp ứng.
Phân tích bởi các nhà nghiên cứu an ninh mạng tại Palo Alto Networks nêu chi tiết làm thế nào, giống như nhiều hoạt động ransomware vào năm 2021, nhóm này hoạt động như một doanh nghiệp chuyên nghiệp, thậm chí còn coi nạn nhân của các cuộc tấn công mạng là “khách hàng” và liên lạc với họ thông qua hệ thống bán vé.
Tội phạm mạng đằng sau Prometheus tuyên bố đã tấn công hơn 30 nạn nhân trên khắp thế giới cho đến nay, bao gồm các tổ chức ở Bắc Mỹ, Châu Âu và Châu Á. Các lĩnh vực mà Prometheus tuyên bố sẽ tấn công bao gồm chính phủ, dịch vụ tài chính, sản xuất, hậu cần, tư vấn, nông nghiệp, dịch vụ chăm sóc sức khỏe, cơ quan bảo hiểm, năng lượng và luật.
Tuy nhiên, cho đến nay chỉ có bốn nạn nhân trả tiền, theo trang web rò rỉ của nhóm, trong đó tuyên bố rằng một công ty nông nghiệp Peru, một nhà cung cấp dịch vụ chăm sóc sức khỏe Brazil và các tổ chức vận tải và hậu cần ở Áo và Singapore đã trả tiền chuộc, Palo Alto cho biết.
Một đặc điểm đáng chú ý của Prometheus là nó sử dụng nhãn hiệu của một nhóm ransomware khác trên cơ sở hạ tầng của mình, tự xưng là 'Nhóm REvil' trên thông báo đòi tiền chuộc và trên các nền tảng liên lạc của nó.
XEM: Chiến lược chiến thắng cho an ninh mạng (Báo cáo đặc biệt của ZDNet) | Tải xuống báo cáo dưới dạng PDF (Công nghệ cao)
REvil là một trong những hoạt động ransomware khét tiếng và thành công nhất, tuyên bố một loạt nạn nhân nổi tiếng. FBI gần đây đã quy kết cuộc tấn công ransomware nhằm vào nhà chế biến thịt JBS cho nhóm được cho là hoạt động ở Nga.
Tuy nhiên, mặc dù sử dụng tên của REvil, dường như không có bất kỳ mối liên hệ nào giữa hai hoạt động - và có khả năng Prometheus đang cố gắng sử dụng tên của một hoạt động tội phạm đã được thành lập để tăng cơ hội nhận được tiền chuộc. .
“Vì không có mối liên hệ chắc chắn nào ngoài việc tham chiếu đến tên nên lý thuyết hoạt động của chúng tôi là họ đang tận dụng tên REvil để tăng cơ hội đảm bảo thanh toán. Nếu bạn tìm kiếm REvil, các tiêu đề sẽ tự nói lên điều đó so với việc tìm kiếm phần mềm ransomware Prometheus mà có lẽ không có gì quan trọng xảy ra,” Doel Santos, nhà phân tích tình báo về mối đe dọa tại Đơn vị 42, Palo Alto Networks nói với ZDNet.
Các nhà nghiên cứu lưu ý rằng hoạt động này có mối liên hệ chặt chẽ với mã độc tống tiền Thanos.
Thanos ransomware lần đầu tiên được rao bán trên các diễn đàn ngầm vào nửa đầu năm 2020 nhưng hành vi và cơ sở hạ tầng của nó gần giống với Prometheus, điều này có thể cho thấy Thanos và Prometheus được điều hành bởi cùng một nhóm tội phạm.
Trong khi các nhà nghiên cứu chưa thể xác định chính xác phương thức Prometheus được giao cho nạn nhân, Thanos được biết là được phân phối dưới hình thức mua quyền truy cập vào các mạng trước đây đã được phân phối. bị xâm nhập bởi phần mềm độc hại, các cuộc tấn công bạo lực chống lại các mật khẩu thường được sử dụng và tấn công lừa đảo.
Sau khi tấn công nạn nhân bằng ransomware, Prometheus điều chỉnh số tiền chuộc tùy theo mục tiêu, với yêu cầu từ 6,000 USD đến 100,000 USD – con số này sẽ tăng gấp đôi nếu nạn nhân không trả tiền trong vòng một tuần.
Tiền chuộc được yêu cầu bằng Monero, thay vì Bitcoin, một quyết định có thể được đưa ra vì giao dịch Monero khó theo dõi hơn Bitcoin – vì vậy sẽ có ít khả năng nhóm bị phát hiện hoặc tài sản bị tịch thu bởi hoạt động thực thi pháp luật.
Người ta tin rằng nhóm này vẫn đang hoạt động và sẽ tiếp tục miễn là các cuộc tấn công vẫn mang lại lợi nhuận.
Santos cho biết: “Miễn là Prometheus tiếp tục nhắm mục tiêu vào các tổ chức dễ bị tổn thương, nó sẽ tiếp tục thực hiện các chiến dịch. Ông nói thêm: “Trong tương lai, chúng tôi hy vọng nhóm này sẽ tiếp tục bổ sung thêm nạn nhân vào trang web rò rỉ của họ và thay đổi kỹ thuật của họ nếu cần”.
Do Prometheus và các nhóm ransomware khác thường dựa vào việc xâm phạm tài khoản người dùng để tự nhúng vào mạng, một điều mà các tổ chức có thể làm để giúp bảo vệ khỏi các cuộc tấn công của ransomware là sử dụng xác thực đa yếu tố.
Việc triển khai tính năng này cho tất cả người dùng sẽ tạo thêm rào cản ngăn chặn các cuộc tấn công, khiến tội phạm mạng khó khai thác thông tin xác thực bị đánh cắp làm điểm khởi đầu cho các chiến dịch ransomware.
THÊM VỀ CYBERSECURITY
Coinsmart. Đặt cạnh Bitcoin-Börse ở Europa
Nguồn: https://www.zdnet.com/article/this-new-ransomware-group-claims-to-have-breached-over-30-organisations-so-far/#ftag=RSSbaffb68
