新兴勒索软件瞄准了全球数十家企业

威胁领域一个新兴的勒索软件品种声称，在一个臭名昭著的勒索软件辛迪加的帮助下，该公司自投入运营以来仅四个月就突破了30个组织。

首先观察到2021年2月，“普罗米修斯”是另一个著名的勒索变种称为“TANOSOS”的分支，此前它曾在去年在中东和北非的国营组织部署过。

受影响的实体被认为是政府、金融服务业、制造业、物流业、咨询业、农业、医疗服务业、保险机构、英国美国的能源和律师事务所，以及亚洲、欧洲、中东和南美洲的十几个国家。根据帕洛阿尔托网络公司42单元威胁情报小组发表的最新研究。

与其他勒索团伙一样，普罗米修斯利用双重勒索策略，开设了一个黑暗的网络泄密网站，在该网站上对新受害者进行点名和羞辱，并提供被盗数据供购买，同时设法在其犯罪活动中注入一种职业化的外衣。

“普罗米修斯像一家专业企业一样运作，”42号机组威胁情报分析师多尔·桑托斯说。“它将受害者称为‘客户’，使用客户服务票务系统与他们沟通，当付款截止日期临近时，该系统会向他们发出警告，甚至使用时钟倒计时到付款截止日期的时、分、秒。”

然而，这家网络安全公司的分析显示，迄今为止，30家受影响的组织中只有4家选择支付赎金，包括一家秘鲁农业公司、一家巴西医疗服务提供商，以及奥地利和新加坡的两家运输和物流组织。

值得注意的是，尽管普罗米修斯与塔诺斯有着密切的联系，但该团伙自称是“REvil集团”，是近年来数量最多、臭名昭著的勒索软件即服务（RaaS）卡特尔之一，研究人员推测，这可能是为了转移人们对塔诺人的注意力，或者是一种故意的伎俩，目的是通过一项既定的手术诱骗受害者支付费用。

虽然勒索软件的入侵路线目前尚不清楚，但预计该组织会购买目标网络的访问权限，或实施矛式网络钓鱼和暴力攻击，以获得初始访问权限。在一次成功的妥协之后，普罗米修斯的做法是终止系统上与备份和安全软件相关的进程，以将文件锁定在加密屏障后面。

桑托斯说：“普罗米修斯勒索软件运营商为每个受害者生成一个唯一的有效载荷，用于他们的谈判网站恢复文件。”他补充说，根据受害者组织的不同，勒索需求的范围在6000美元到100000美元之间，如果受害者未能在指定的时间段内支付，价格会翻倍。

与此同时，网络犯罪组织越来越多地将目标对准SonicWall设备，以破坏公司网络并部署勒索软件。CrowdStrike本周发布的一份报告发现了SonicWall SRA 4600 VPN设备中存在远程访问漏洞（CVE-2019-7481）的证据，该漏洞被用作针对全球组织的勒索软件攻击的初始访问载体。