Uma campanha emergente de ransomware tem hackeado cerca de 30 organizações em todo o mundo em apenas quatro meses desde que entrou em operação e tem fortes ligações com outra operação de ransomware. O Brasil é um dos países entre as vítimas da campanha.

Observado pela primeira vez em fevereiro de 2021, o “Prometheus” originou-se de outra variante de ransomware conhecida como Thanos, que tinha como alvo organizações estatais do Oriente Médio e Norte da África no ano passado.

Acredita-se que as vítimas sejam empresas governamentais, serviços financeiros, industrial, logísticas, consultorias, agricultura, serviços de saúde, agências de seguros, empresas de energia e jurídicas nos EUA, Reino Unido e mais em meia dúzia de países localizados na Ásia, Europa, Oriente Médio e América do Sul, de acordo com uma nova pesquisa publicada pelo time de inteligência de ameaças da Unit42 da Palo Alto Networks.

Como outros grupos de ransomware, o Prometheus tira proveito de táticas de extorsão dupla e hospeda um site para o vazamento de dados na Dark Web, onde divulga os dados das vítimas, disponibilizando-os para compra, ao mesmo tempo em que consegue dar um ar de profissionalismo para suas atividades criminosas

“O grupo por trás do Prometheus funciona como uma empresa”, disse Doel Santos, analista de inteligência de ameaças da Unit42. “Refere-se às suas vítimas como “clientes”, comunica-se com eles usando um sistema de tickets e até usa um relógio para contabilizar as horas, minutos e segundos faltantes para o prazo de pagamento.”

Ransomware Prometheus mira dezenas de países [incluindo o Brasil]
É necessário abrir ticket! Eu hein??

Ransomware Prometheus mira dezenas de países [incluindo o Brasil]
O tempo está correndo!

No entanto, apenas quatro das 30 organizações afetadas optaram por pagar pelo resgate até o momento, revelou a empresa de segurança cibernética, incluindo uma empresa agrícola do Peru, uma empresa prestadora de serviços de saúdo do Brasil e duas empresas relacionadas com transporte e logística na Áustria e em Cingapura.

Ransomware Prometheus mira dezenas de países [incluindo o Brasil]
Lista de países impactados pelo ransomware Prometheus – Olha o Brasil ali em segundo lugar!

É importante notar que, apesar das fortes semelhanças com Thanos, o grupo por trás do Prometheus alega ser um “grupo do REVil”, um dos “cartéis” de ransomware-as-a-service (RaaS) mais prolíficos e infames dos últimos anos, em que os pesquisadores especulam ser uma tentativa de desviar a atenção de Thanos ou uma manobra deliberada para enganar as vítimas e fazê-las pagar pegando carona em uma operação já estabelecida.

Embora o pedido de resgate ainda não esteja bastante claro, espera-se que o grupo tenha adquirido acesso às redes-alvo ou encenado ataques de spear phishing e de força bruta para obter o acesso inicial. Após uma invasão bem-sucedida, o modus operandi do Prometheus envolve o encerramento dos processos relacionados ao softwares de segurança e de backup no sistema alvo, para bloquear os arquivos que possivelmente estejam protegidos por sistemas de criptografia.

Os operadores do ransomware Prometheus geram um único payload por vítima, que é usado em seu site de negociação para recuperar os arquivos”, disse Santos, acrescentando que a demanda pelo resgate varia entre 6.000 e 100.000 doletas, dependendo da empresa vítima. O valor poderá dobrar se a vítima não pagar o valor em um período de tempo determinado”.

O desenrolar disso tudo também ocorre em um momento em que grupos de crimes cibernéticos estão cada mais visando dispositivos SonicWall para hackear redes corporativas e implementar o ransomware. Um relatório publicado pela CrowdStrike esta semana encontrou evidências de vulnerabilidades de acesso remoto (CVE-2019-7481) em dispositivos SonicWall SRA 4600 VPN sendo explorados como um vetor de acesso inicial para os ataques de ransomware direcionados a organizações em todo o mundo.

Fonte:

https://thehackernews.com/2021/06/emerging-ransomware-targets-dozens-of.html

Prometheus Ransomware Gang: A Group of REvil? (paloaltonetworks.com)

Fonte da imagem usada na capa do post

https://computerworld.com.br/seguranca/extorsao-tripla-e-nova-ameaca-de-ransomware-identificada-por-pesquisadores-de-ciberseguranca/

What's your reaction?

Excited
0
Happy
0
In Love
0
Not Sure
0
Silly
0
O Analista
Adoro letras verdes sob um fundo preto...

You may also like

More in:Security