【安全资讯】新兴勒索团伙Prometheus冒充REvil组织进行恶意活动

猎影实验室 2021-06-11 08:40:02 2067人浏览

近日,研究人员发现了Prometheus勒索团伙针对美国、英国和其他几个国家的在线攻击。Prometheus 是勒索软件领域的一个新组织,它使用与Thanos勒索软件类似的攻击策略。Prometheus 利用双重勒索策略并托管一个泄密站点,在该站点上命名新的受害者并出售窃取的数据。Prometheus声称是REvil勒索软件团伙的一员,已经入侵了美国、英国和亚洲、欧洲、中东等十几个国家的政府、金融服务、制造、物流、咨询、农业、医疗保健服务、能源等行业的30个组织。


Prometheus于 2021 年 2 月首次被观察到,是一种名为Thanos的已知勒索软件的新变体。Thanos 勒索软件从 2020 年上半年开始就在地下论坛上进行广告销售,它有一个构建器,允许黑客使用各种可用设置自定义样本,因此不同的黑客可以利用这个构建器来创建自己的变体。


当 Prometheus 勒索软件被执行时,它会尝试终止备份和安全软件相关进程。在备份和安全过程终止并完成加密后,Prometheus 勒索软件会发出两个勒索提示:一个RESTORE_FILES_INFO.TXT文件和一个RESTORE_FILES_INFO.TXT.hta文件,两者都包含相同的信息。 赎金说明要求受害者联系 Prometheus 勒索软件运营商以恢复文件,并威胁受害者,如果不满足勒索团伙的要求,黑客将向公众公开数据或将其出售给第三方。 RESTORE_FILES_INFO.TXT.hta文件如下图:


RESTORE_FILES_INFO.TXT.hta文件


Prometheus已经攻击了美国、英国和亚洲、欧洲、中东等十几个国家的30个组织。受害者的地区分布如下:



Prometheus 自称是REvil勒索软件团伙的一员,但研究人员目前并没有发现这两个团体之间有任何联系。REvil 以附属机构驱动的 RaaS 计划运作,但研究人员认为 Prometheus 勒索软件团伙可能会自行采取行动。研究人员认为,Prometheus可能是试图利用 REvil 的名字来说服受害者付款,利用知名威胁组织的名称来增强其可信度。


总结:

Prometheus 是一个新兴的勒索软件团伙,它使用 Thanos 勒索软件的变体瞄准全球多个行业。与许多其他勒索软件组织一样,Prometheus 托管了一个泄密站点,以制造额外的压力并使受害者羞于支付赎金。虽然 Prometheus 声称是 REvil 勒索软件团伙的一部分,但研究人员目前并未发现这两个勒索软件团伙之间存在牢固的联系。

失陷指标(IOC)11
勒索软件 Prometheus Thanos 政府部门 金融 能源 交通运输 医疗卫生 食品和农业
    0条评论
    0
    0
    分享
    安全星图平台专注于威胁情报的收集、处理、分析、应用,定期提供高质量的威胁情报。