据外媒报道,在威胁领域中,一个新兴的勒索软件声称,自从它利用一个臭名昭著的勒索软件集团的信息在运营以来的短短4个月内已经攻破了30个组织。据悉,Prometheus是另一种著名勒索软件Thanos的分支,于2021年2月首次被发现,该软件去年曾被用于对付中东和北非的国有组织。
根据Palo Alto Networks的Unit 42威胁情报小组发布的新研究显示,受影响的实体据信包括了美国、英国的政府、金融服务、制造业、物流、咨询、农业、医疗保健服务、保险机构、能源和律师事务所以及亚洲、欧洲、中东和南美的十几个国家。
跟其他勒索软件团伙一样,Prometheus也利用双重勒索战术建立了一个暗网泄露网站,在那里,它会点名并羞辱新受害者并提供被窃取的数据供购买,同时设法为其犯罪活动添加一种专业的伪装。
“Prometheus的运作就像一个专业企业,”Unit 42威胁情报分析师Doel Santos说道,“它把受害者称为‘顾客’,使用客户服务售票系统跟他们沟通,在付款截止日期临近时提醒他们,甚至用钟表倒计时付款截止日期。”
然而这家网络安全公司的分析显示,到目前为止,30家受影响的组织中只有4家选择支付赎金,它们是一家秘鲁农业公司、一家巴西医疗服务供应商、奥地利和新加坡的两家运输和物流组织。
值得注意的是,尽管Prometheus跟Thanos有着密切联系,但该团伙自称是“REvil集团”,是近年来最多产、最臭名昭著的勒索软件服务(RaaS)集团之一,研究人员推测,这可能是为了转移人们对Thanos的注意力,也可能是为了利用既定的行动诱骗受害者付钱。
虽然该勒索软件的入侵路径尚不清楚,但预计该组织会购买进入目标网络的权限或采用鱼叉式钓鱼和暴力攻击来获得最初的访问权限。在成功达成妥协后,Prometheus的做法是终止系统上跟备份和安全软件相关的进程进而将文件锁在加密屏障之后。
与此同时,网络犯罪集团正在越来越多地将SonicWall设备作为攻击目标以此来攻破企业网络并部署勒索软件。CrowdStrike本周发布的一份报告发现,SonicWall SRA 4600 VPN设备中的远程访问漏洞(CVE-2019-7481)被利用作为针对全球组织的勒索软件攻击的初始访问载体。