根據Palo Alto Networks的Unit 42威脅情報小組發佈的新研究顯示,受影響的實體據信包括瞭美國、英國的政府、金融服務、制造業、物流、咨詢、農業、醫療保健服務、保險機構、能源和律師事務所以及亞洲、歐洲、中東和南美的十幾個國傢。
跟其他勒索軟件團夥一樣,Prometheus也利用雙重勒索戰術建立瞭一個暗網泄露網站,在那裡,它會點名並羞辱新受害者並提供被竊取的數據供購買,同時設法為其犯罪活動添加一種專業的偽裝。
“Prometheus的運作就像一個專業企業,”Unit 42威脅情報分析師Doel Santos說道,“它把受害者稱為‘顧客’,使用客戶服務售票系統跟他們溝通,在付款截止日期臨近時提醒他們,甚至用鐘表倒計時付款截止日期。”
然而這傢網絡安全公司的分析顯示,到目前為止,30傢受影響的組織中隻有4傢選擇支付贖金,它們是一傢秘魯農業公司、一傢巴西醫療服務供應商、奧地利和新加坡的兩傢運輸和物流組織。
值得註意的是,盡管Prometheus跟Thanos有著密切聯系,但該團夥自稱是“REvil集團”,是近年來最多產、最臭名昭著的勒索軟件服務(RaaS)集團之一,研究人員推測,這可能是為瞭轉移人們對Thanos的註意力,也可能是為瞭利用既定的行動誘騙受害者付錢。
雖然該勒索軟件的入侵路徑尚不清楚,但預計該組織會購買進入目標網絡的權限或采用魚叉式釣魚和暴力攻擊來獲得最初的訪問權限。在成功達成妥協後,Prometheus的做法是終止系統上跟備份和安全軟件相關的進程進而將文件鎖在加密屏障之後。
與此同時,網絡犯罪集團正在越來越多地將SonicWall設備作為攻擊目標以此來攻破企業網絡並部署勒索軟件。CrowdStrike本周發佈的一份報告發現,SonicWall SRA 4600 VPN設備中的遠程訪問漏洞(CVE-2019-7481)被利用作為針對全球組織的勒索軟件攻擊的初始訪問載體。
留言列表
