Artigos



O ransomware prometheus que atacou dezenas de empresas em todo o mundo

Uma nova variante de ransomware no cenário de ameaças afirma ter violado 30 organizações em apenas quatro meses. Observado pela primeira vez em fevereiro de 2021, o “Prometheus” é um desdobramento de outra variante de ransomware conhecida chamada Thanos, que foi anteriormente implantada contra organizações estatais no Oriente Médio e Norte da África no ano passado.

Acredita-se que as entidades afetadas sejam governo, serviços financeiros, manufatura, logística, consultoria, agricultura, serviços de saúde, agências de seguros, firmas de energia e advocacia nos EUA, Reino Unido e mais uma dúzia de países na Ásia, Europa, Oriente Médio, e América do Sul.

Como outros grupos de ransomware, o Prometheus tira proveito de táticas de extorsão dupla e hospeda um site de vazamento da dark web, onde infomra e ridiculariza novas vítimas disponibilizando dados roubados para compra.

“A Prometheus funciona como uma empresa profissional”, informa algum dos pesquisadores. “Refere-se às suas vítimas como ‘clientes’, comunica-se com eles através de um sistema de ticket de serviço ao cliente que os avisa quando os prazos de pagamento se aproximam e até usa um relógio para contar as horas, minutos e segundos para o prazo de pagamento.”

No entanto, apenas quatro das 30 organizações afetadas optaram por pagar resgates até o momento, revelou os pesquisadores, incluindo uma empresa agrícola peruana, uma prestadora de serviços de saúde brasileira e duas organizações de transporte e logística na Áustria e em Cingapura.

Contagem

É importante notar que, apesar dos fortes vínculos de Prometheus com Thanos, o grupo diz ser um dos cartéis de ransomware-as-a-service (RaaS) mais prolíficos e infames dos últimos anos. Pesquisadores especulam ser uma tentativa de desviar a atenção do grupo Thanos ou uma estratégia deliberada para enganar e intimidar as vítimas e fazê-las pagar.

Embora a rota de invasão do ransomware ainda não esteja clara, espera-se que o grupo tenha adquirido acesso às redes-alvo ou encaminhado ataques de spear phishing e força bruta para obter o acesso inicial. Após um compromisso bem-sucedido, o modus operandi do Prometheus envolve o encerramento dos processos relacionados ao software de segurança e backup no sistema para bloquear os arquivos atrás de barreiras de criptografia.

“Os operadores de ransomware Prometheus geram um payload por vítima, que é usada em seu site de negociação para recuperar arquivos”, disse os especialistas, acrescentando que a demanda de resgate varia entre US $ 6.000 e US $ 100.000 dependendo da organização da vítima, um preço que dobrará se o a vítima não pagar dentro do período de tempo designado.

Exploit code

O desenvolvimento também ocorre em um momento em que grupos de crimes cibernéticos estão cada vez mais visando dispositivos SonicWall para violar redes corporativas e implantar ransomware. Um relatório publicado por especialistas de segurança esta semana encontrou evidências de vulnerabilidades de acesso remoto (CVE-2019-7481) em dispositivos SonicWall SRA 4600 VPN sendo explorados como um vetor de acesso inicial para ataques de ransomware direcionados a organizações em todo o mundo.

REFERÊNCIAS:

https://thehackernews.com/2021/06/emerging-ransomware-targets-dozens-of.html

https://unit42.paloaltonetworks.com/prometheus-ransomware/

https://www.crowdstrike.com/blog/how-ecrime-groups-leverage-sonicwall-vulnerability-cve-2019-7481/





Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Parceiros

Av. Dom João VI, 11, Edf. Seta Empresarial, 2º Andar, Brotas | Cep: 40.285-000 | Salvador - Bahia - Brasil
Tel.: 71 3018-7381 / 3018-7381 www.xlogic.com.br - sac@xlogic.com.br

XLOGIC. © 2021. Todos os direitos reservados.