據(jù)外媒報(bào)道，在威脅領(lǐng)域中，一個(gè)新興的勒索軟件聲稱(chēng)，自從它利用一個(gè)臭名昭著的勒索軟件集團(tuán)的信息在運(yùn)營(yíng)以來(lái)的短短4個(gè)月內(nèi)已經(jīng)攻破了30個(gè)組織。據(jù)悉，Prometheus是另一種著名勒索軟件Thanos的分支，于2021年2月首次被發(fā)現(xiàn)，該軟件去年曾被用于對(duì)付中東和北非的國(guó)有組織。

根據(jù)Palo Alto Networks的Unit 42威脅情報(bào)小組發(fā)布的新研究顯示，受影響的實(shí)體據(jù)信包括了美國(guó)、英國(guó)的政府、金融服務(wù)、制造業(yè)、物流、咨詢(xún)、農(nóng)業(yè)、醫(yī)療保健服務(wù)、保險(xiǎn)機(jī)構(gòu)、能源和律師事務(wù)所以及亞洲、歐洲、中東和南美的十幾個(gè)國(guó)家。

跟其他勒索軟件團(tuán)伙一樣，Prometheus也利用雙重勒索戰(zhàn)術(shù)建立了一個(gè)暗網(wǎng)泄露網(wǎng)站，在那里，它會(huì)點(diǎn)名并羞辱新受害者并提供被竊取的數(shù)據(jù)供購(gòu)買(mǎi)，同時(shí)設(shè)法為其犯罪活動(dòng)添加一種專(zhuān)業(yè)的偽裝。

“Prometheus的運(yùn)作就像一個(gè)專(zhuān)業(yè)企業(yè)，”Unit 42威脅情報(bào)分析師Doel Santos說(shuō)道，“它把受害者稱(chēng)為‘顧客’，使用客戶服務(wù)售票系統(tǒng)跟他們溝通，在付款截止日期臨近時(shí)提醒他們，甚至用鐘表倒計(jì)時(shí)付款截止日期。”

然而這家網(wǎng)絡(luò)安全公司的分析顯示，到目前為止，30家受影響的組織中只有4家選擇支付贖金，它們是一家秘魯農(nóng)業(yè)公司、一家巴西醫(yī)療服務(wù)供應(yīng)商、奧地利和新加坡的兩家運(yùn)輸和物流組織。

值得注意的是，盡管Prometheus跟Thanos有著密切聯(lián)系，但該團(tuán)伙自稱(chēng)是“REvil集團(tuán)”，是近年來(lái)最多產(chǎn)、最臭名昭著的勒索軟件服務(wù)(RaaS)集團(tuán)之一，研究人員推測(cè)，這可能是為了轉(zhuǎn)移人們對(duì)Thanos的注意力，也可能是為了利用既定的行動(dòng)誘騙受害者付錢(qián)。

雖然該勒索軟件的入侵路徑尚不清楚，但預(yù)計(jì)該組織會(huì)購(gòu)買(mǎi)進(jìn)入目標(biāo)網(wǎng)絡(luò)的權(quán)限或采用魚(yú)叉式釣魚(yú)和暴力攻擊來(lái)獲得最初的訪問(wèn)權(quán)限。在成功達(dá)成妥協(xié)后，Prometheus的做法是終止系統(tǒng)上跟備份和安全軟件相關(guān)的進(jìn)程進(jìn)而將文件鎖在加密屏障之后。

與此同時(shí)，網(wǎng)絡(luò)犯罪集團(tuán)正在越來(lái)越多地將SonicWall設(shè)備作為攻擊目標(biāo)以此來(lái)攻破企業(yè)網(wǎng)絡(luò)并部署勒索軟件。CrowdStrike本周發(fā)布的一份報(bào)告發(fā)現(xiàn)，SonicWall SRA 4600 VPN設(shè)備中的遠(yuǎn)程訪問(wèn)漏洞(CVE-2019-7481)被利用作為針對(duì)全球組織的勒索軟件攻擊的初始訪問(wèn)載體。