【安全资讯】新兴勒索团伙Prometheus冒充REvil组织进行恶意活动

近日，研究人员发现了Prometheus勒索团伙针对美国、英国和其他几个国家的在线攻击。Prometheus 是勒索软件领域的一个新组织，它使用与Thanos勒索软件类似的攻击策略。Prometheus 利用双重勒索策略并托管一个泄密站点，在该站点上命名新的受害者并出售窃取的数据。Prometheus声称是REvil勒索软件团伙的一员，已经入侵了美国、英国和亚洲、欧洲、中东等十几个国家的政府、金融服务、制造、物流、咨询、农业、医疗保健服务、能源等行业的30个组织。

Prometheus于 2021 年 2 月首次被观察到，是一种名为Thanos的已知勒索软件的新变体。Thanos 勒索软件从 2020 年上半年开始就在地下论坛上进行广告销售，它有一个构建器，允许黑客使用各种可用设置自定义样本，因此不同的黑客可以利用这个构建器来创建自己的变体。

当 Prometheus 勒索软件被执行时，它会尝试终止备份和安全软件相关进程。在备份和安全过程终止并完成加密后，Prometheus 勒索软件会发出两个勒索提示：一个RESTORE_FILES_INFO.TXT文件和一个RESTORE_FILES_INFO.TXT.hta文件，两者都包含相同的信息。 赎金说明要求受害者联系 Prometheus 勒索软件运营商以恢复文件，并威胁受害者，如果不满足勒索团伙的要求，黑客将向公众公开数据或将其出售给第三方。 RESTORE_FILES_INFO.TXT.hta文件如下图：

RESTORE_FILES_INFO.TXT.hta文件

Prometheus已经攻击了美国、英国和亚洲、欧洲、中东等十几个国家的30个组织。受害者的地区分布如下：

Prometheus 自称是REvil勒索软件团伙的一员，但研究人员目前并没有发现这两个团体之间有任何联系。REvil 以附属机构驱动的 RaaS 计划运作，但研究人员认为 Prometheus 勒索软件团伙可能会自行采取行动。研究人员认为，Prometheus可能是试图利用 REvil 的名字来说服受害者付款，利用知名威胁组织的名称来增强其可信度。

总结：

Prometheus 是一个新兴的勒索软件团伙，它使用 Thanos 勒索软件的变体瞄准全球多个行业。与许多其他勒索软件组织一样，Prometheus 托管了一个泄密站点，以制造额外的压力并使受害者羞于支付赎金。虽然 Prometheus 声称是 REvil 勒索软件团伙的一部分，但研究人员目前并未发现这两个勒索软件团伙之间存在牢固的联系。