Ransomware mới nổi tấn công hàng chục doanh nghiệp trên toàn thế giới.



Một loại ransomware đang nổi lên trong bối cảnh hacker tuyên bố đã xâm nhập 30 tổ chức chỉ trong 4 tháng kể từ khi nó đi vào hoạt động, dựa trên sự liên kết của một tổ chức ransomware khét tiếng.

Được ghi nhận lần đầu tiên vào tháng 2 năm 2021, “Prometheus” là một nhánh của một biến thể ransomware nổi tiếng khác có tên là Thanos, trước đây đã được triển khai chống lại các tổ chức nhà nước ở Trung Đông và Bắc Phi vào năm ngoái.

Các thực thể bị ảnh hưởng được cho là chính phủ, dịch vụ tài chính, sản xuất, logistics, tư vấn, nông nghiệp, dịch vụ chăm sóc sức khỏe, cơ quan bảo hiểm, năng lượng và công ty luật ở Hoa Kỳ, Vương quốc Anh và hàng chục quốc gia khác ở châu Á, châu Âu, Trung Đông, và Nam Mỹ, theo nghiên cứu mới được công bố bởi đội tình báo mối đe dọa thuộc Đơn vị 42 của Palo Alto Networks.

Giống như các băng đảng ransomware khác, Prometheus tận dụng các chiến thuật tống tiền kép và lưu trữ một web đen dùng để rò rỉ thông tin, nơi nó đặt tên và làm xấu mặt các nạn nhân mới và cung cấp dữ liệu bị đánh cắp để cho việc mua bán, đồng thời quản lý để đưa một chút tính chuyên nghiệp vào các hoạt động phạm tội của mình.

“Prometheus hoạt động như một tổ chức chuyên nghiệp”, Doel Santos, nhà phân tích tình báo về mối đe dọa của Đơn vị 42, cho biết. ” Tổ chức này đề cập đến nạn nhân của là ‘khách hàng’, giao tiếp với nạn nhân bằng cách sử dụng  customer service ticketing system để đưa ra cảnh báo họ khi thời hạn thanh toán đang đến gần và thậm chí sử dụng đồng hồ để đếm ngược giờ, phút và giây đến thời hạn thanh toán.”

Tuy nhiên, chỉ có bốn trong số 30 tổ chức bị tấn công chọn trả tiền chuộc cho đến nay, phân tích của công ty an ninh mạng tiết lộ, bao gồm một công ty nông nghiệp Peru, một nhà cung cấp dịch vụ chăm sóc sức khỏe của Brazil, và hai tổ chức vận tải và logistics ở Áo và Singapore.

Điều đáng chú ý là bất chấp mối liên hệ chặt chẽ của Prometheus với Thanos, băng nhóm này tự xưng là “nhóm REvil”, một trong những băng đảng ransomware-as-a-service (RaaS) phổ biến và khét tiếng nhất trong những năm gần đây, các nhà nghiên cứu suy đoán có thể là một nỗ lực để làm chệch hướng sự chú ý khỏi Thanos hoặc một âm mưu cố ý để lừa nạn nhân trả tiền bằng cách “cõng” vào một hoạt động đã được thiết lập sẵn.

Mặc dù lộ trình xâm nhập của ransomware vẫn chưa rõ ràng, nhưng có thể nhóm đã mua quyền truy cập vào các mạng mục tiêu hoặc tổ chức các cuộc spear-phishing và brute-force attacks để có được quyền truy cập ban đầu. Sau xâm nhập thành công, Prometheus modus operandi liên quan đến việc chấm dứt các quy trình liên quan đến phần mềm bảo mật và sao lưu trên hệ thống để khóa các tệp sau các rào cản mã hóa.

“Những kẻ đứng sau ransomware Prometheus tạo ra một payload duy nhất cho mỗi nạn nhân, được sử dụng cho trang web thương lượng của họ để khôi phục các tệp”, Santos cho biết thêm, nhu cầu tiền chuộc dao động trong khoảng từ 6.000 đô la đến 100.000 đô la tùy thuộc vào tổ chức nạn nhân, mức giá sẽ tăng gấp đôi nếu nạn nhân không thanh toán trong khoảng thời gian được chỉ định.

Exploit code

Sự chuyển biến này cũng diễn ra khi các nhóm tội phạm mạng ngày càng nhắm vào các thiết bị SonicWall để xâm phạm mạng công ty và triển khai ransomware. Một báo cáo được CrowdStrike công bố trong tuần này đã tìm thấy bằng chứng về các lỗ hổng truy cập từ xa (CVE-2019-7481) trong các thiết bị VPN SonicWall SRA 4600 đang bị khai thác làm véc tơ truy cập ban đầu cho các cuộc ransomware attacks nhắm vào các tổ chức trên toàn thế giới.

nguồn: thehackernews.



Bài Viết liên quan

Mạng Xã Hội

55,084FansLike
471FollowersFollow
23,364SubscribersSubscribe

Bài Viết Nổi Bật