您所在的位置: 首頁 >
新聞資訊 >
威脅情報(bào) >
新興勒索組織Prometheus威脅全球多家企業(yè)安全
概述
Prometheus屬于勒索軟件市場(chǎng)的新興玩家,它與老牌勒索組織Thanos具有類似的惡意軟件和策略。近期,Prometheus公開了包括墨西哥政府、加納國家天然氣公司等在內(nèi)數(shù)名受害組織數(shù)據(jù),并聲稱掌握了全球超30家企業(yè)的數(shù)據(jù),涉及美洲、亞洲、歐洲的多個(gè)國家的垂直行業(yè),如政府、金融服務(wù)、制造、物流、咨詢、農(nóng)業(yè)、醫(yī)療保健服務(wù)、保險(xiǎn)機(jī)構(gòu)、能源和法律等。
Prometheus具有專門的站點(diǎn)展示受害組織名稱及可供購買的被盜數(shù)據(jù)。它將受害者稱為“客戶”,客戶需使用服務(wù)票務(wù)系統(tǒng)與其溝通,該系統(tǒng)在付款截止日期臨近時(shí)會(huì)用倒數(shù)的計(jì)時(shí)圖案警告客戶。如受害者未能付款,則要挾客戶對(duì)其數(shù)據(jù)進(jìn)行拍賣處理。
從Prometheus站點(diǎn)展示來看,迄今為止有四名受害者支付了贖金,分別為一家秘魯農(nóng)業(yè)公司、一家巴西醫(yī)療保健服務(wù)提供商以及兩家分別位于奧地利和新加坡的運(yùn)輸物流企業(yè),但沒有申明贖金金額。
Prometheus聲稱自己是臭名昭著的勒索軟件團(tuán)伙REvil中的的一員,但這兩個(gè)惡意組織實(shí)則沒有任何關(guān)聯(lián)的跡象,此舉一是可能試圖利用REvil的名氣來威懾受害者付款,二是可能為了轉(zhuǎn)移對(duì)Thanos的注意力。
Prometheus勒索軟件概述
Prometheus勒索軟件于2021年2月首次被觀察到,是一種名為Thanos的已知惡意軟件新變種,后者從2020年上半年開始在地下論壇進(jìn)行銷售。Thanos有一個(gè)構(gòu)建器,能讓使用者根據(jù)自己需求設(shè)置自定義樣本,這也為不同的威脅者利用了此構(gòu)建器來創(chuàng)造自己的變種和品牌留下了可能。
在撰寫本文時(shí),還沒有獲取到Prometheus勒索軟件如何交付的信息,但Prometheus慣用手法是購買對(duì)某些網(wǎng)絡(luò)的訪問權(quán)、暴力破解憑據(jù)或魚叉式網(wǎng)絡(luò)釣魚來進(jìn)行初始訪問。
當(dāng)Prometheus勒索軟件執(zhí)行時(shí),它會(huì)嘗試殺死多個(gè)安全軟件相關(guān)進(jìn)程,例如Raccine(一款阻止勒索軟件Windows卷影副本的安全工具),以下是其方法的示例:
Prometheus勒索軟件附加擴(kuò)展名格式為.[XXX-XXX-XXXX](圖1),Prometheus勒索軟件運(yùn)營商會(huì)為每個(gè)受害者生成唯一的有效載荷,以此標(biāo)識(shí)受害者。
圖1.執(zhí)行后的加密文件
在終止安全進(jìn)程并完成文件加密后,Prometheus勒索軟件會(huì)發(fā)出兩封勒索信:RESTORE_FILES_INFO.TXT文件和RESTORE_FILES_INFO.TXT.hta文件(圖2),兩者包含信息相同。
圖2.RESTORE_FILES_INFO.hta
勒索信包括與Prometheus勒索軟件運(yùn)營商的聯(lián)系方式,并威脅受害者如果不滿足要求,數(shù)據(jù)將被公布于眾或出售給第三方。
由于擴(kuò)展名用作受害者標(biāo)識(shí)符,按照贖金票據(jù)上的說明,我們能夠根據(jù)擴(kuò)展名ID在泄露站點(diǎn)查看其協(xié)商狀態(tài)。該組織使用票務(wù)系統(tǒng)來跟蹤受害者,涉及字段包括跟蹤ID、創(chuàng)建日期、解決狀態(tài)和優(yōu)先級(jí)。受害者甚至可以向勒索組織開票來請(qǐng)求數(shù)據(jù)恢復(fù)(圖3)。
圖3.Prometheus對(duì)受害者的回復(fù)
Prometheus勒索軟件團(tuán)伙根據(jù)受害者身份定制他們的贖金金額。贖金以門羅幣(XMR)支付,要求的付款金額從6,000美元至100,000美元不等,如果受害者沒有在規(guī)定的時(shí)間范圍內(nèi)(平均為一周)聯(lián)系,則此價(jià)格會(huì)翻倍。
圖4.Prometheus受害者票證
與當(dāng)前大多勒索軟件團(tuán)伙一樣,該組織還創(chuàng)建了一個(gè)泄密站點(diǎn)(圖5)。
圖5.Prometheus泄密站點(diǎn)
泄密站點(diǎn)上顯示了每個(gè)受害組織的狀態(tài),其中一些受害者的信息顯示出售給了未知的第三方,還有一些顯示已支付了贖金,他們的數(shù)據(jù)從網(wǎng)站上刪除(圖6)。
對(duì)泄密站點(diǎn)的統(tǒng)計(jì)情況看,有超過15名受害者的數(shù)據(jù)等待出售,超過5名受害者數(shù)據(jù)被出售,4名受害者公司支付了贖金,還有1名處于等待的狀態(tài)。
圖6.對(duì)泄密站點(diǎn)中30個(gè)受害者狀態(tài)統(tǒng)計(jì)
這30名受害者遍布全球多國多個(gè)行業(yè),對(duì)這些組織的地理位置統(tǒng)計(jì)圖如下所示。
圖7.受Prometheus勒索軟件影響的30名受害者按國家/地區(qū)統(tǒng)計(jì)
受害組織中,制造業(yè)是受影響最大的行業(yè),其次是運(yùn)輸和物流行業(yè)。
圖8.受Prometheus勒索軟件影響的30名受害者按行業(yè)統(tǒng)計(jì)
舊Prometheus變種
此節(jié)有助于我們了解Prometheus勒索軟件組織的演變方式。
第一個(gè)Prometheus樣本于2021年2月首次觀察到(SHA256:9bf0633f41d2962ba5e2895ece2ef9fa7b546ada311ca30f330f0d261a7fb184),其行為與我們目前正在跟蹤的最新變種相似,但擴(kuò)展名不一致,舊版本的拓展名為:PROM[prometheushelp@mail[.]ch]。
部分舊樣本在執(zhí)行時(shí)會(huì)打開一個(gè)WindowsCommandShell,顯示加密進(jìn)度(圖9),最新的Prometheus樣本則不顯示此信息。
圖9.加密進(jìn)度窗口
另一個(gè)變種(SHA256:11aebdff8c064c160c2b21f3a844bacaecd581d9dc2e4224d31903d2a56e2dd3)拓展名為.XXXXXXXXXXX[prometheusdec@yahoo[.]com],其中X是受害者的ID,和當(dāng)前的版本一樣。它也生成兩個(gè)贖金票據(jù)文件,提供的聯(lián)系方式與當(dāng)前變種不同(圖10),當(dāng)時(shí)還沒有建立泄密站點(diǎn)。
圖10.RESTORE_FILES_INFO.hta(舊Prometheus變種發(fā)送)
Prometheus的舊變種不是像當(dāng)前變種那樣將受害者引導(dǎo)到泄漏站點(diǎn),而是指示受害者轉(zhuǎn)到名為Sonar的Tor站點(diǎn)(一種基于Web的消息傳遞服務(wù))并創(chuàng)建一個(gè)帳戶。創(chuàng)建帳戶后,贖金票據(jù)會(huì)指示受害者向用戶名Prometheus發(fā)送一條消息,需要包含文件擴(kuò)展名標(biāo)識(shí)符和指向三個(gè)加密文件的鏈接,以提供解密證明;第二種聯(lián)系方法是通過電子郵件。
有關(guān)勒索軟件的更多信息,請(qǐng)參見 2021 Unit 42 Ransomware 威脅報(bào)告。 (https://start.paloaltonetworks.com/unit-42-ransomware-threat-report)
參考及來源:https://unit42.paloaltonetworks.com/prometheus-ransomware/
原文來源:嘶吼專業(yè)版