هدف قرار دادن ده‌ها کسب‌وکار در سراسر جهان توسط یک باج‌گیر افزار نوظهور به نام Prometheus

یک باج افزار جدید کشف‌شده است که از زمان عملیاتی شدن ۳۰ سازمان را مورد هدف قرار داده است. این باج‌افزار که اولین بار در فوریه ۲۰۲۱ مشاهده شد، با نام Prometheus شناخته می‌شود[۱] و شاخه یکی دیگر از انواع معروف باج افزارها به نام Thanos است[۲] که قبلاً علیه سازمان‌های دولتی در خاورمیانه و شمال آفریقا در سال گذشته مستقر شده بود.

طبق تحقیق جدید منتشر شده توسط Palo Alto Networks’ Unit 42 اعتقاد بر این است که نهادهای آسیب‌دیده شامل دولت، خدمات مالی، تولیدی، تدارکات، مراکز مشاوره، کشاورزی، خدمات بهداشتی، آژانس‌های بیمه، شرکت‌های انرژی و حقوقی در ایالات‌متحده، انگلستان و ده کشور دیگر در آسیا، اروپا، خاورمیانه و آمریکای جنوبی هستند.

مانند دیگر باندهای باج افزاری، Prometheus از تاکتیک‌های دو برابر اخاذی استفاده می‌کند و میزبان یک dark web است، در آنجا قربانیان جدید را نام می‌برد و داده‌های سرقت شده را برای خرید در دسترس قرار می‌دهد، درحالی‌که تلاش می‌کند یک ظاهر حرفه‌ای را در فعالیت‌های مجرمانه خود تزریق کند.

Doel Santos، تحلیلگر اطلاعات تهدید واحد ۴۲، دراین‌باره گفت: ” Prometheusمانند یک شرکت حرفه‌ای کار می‌کند. قربانیان خود را به‌عنوان مشتری معرفی می‌کند، با استفاده از سیستم فروش بلیت خدمات مشتری با آن‌ها ارتباط برقرار می‌کند که هنگام نزدیک شدن به مهلت پرداخت به آن‌ها هشدار می‌دهد و حتی از یک ساعت برای شمارش معکوس ساعت‌ها، دقیقه‌ها و ثانیه‌ها تا پایان مهلت پرداخت استفاده می‌کند.”

بااین‌حال، تنها ۴ شرکت از ۳۰ سازمان متضرر تاکنون تصمیم به پرداخت باج داشته‌اند. این تحقیقات موسسه امنیت سایبری نشان داد این شرکت‌ها شامل یک شرکت کشاورزی در پرو، یک ارائه‌دهنده خدمات بهداشتی در برزیل و دو سازمان حمل‌ونقل و تدارکات در اتریش و سنگاپور هستند.

شایان‌ذکر است که علیرغم پیوندهای قوی Prometheus با Thanos، این باند ادعا می‌کند که زیرمجموعه‌ای از REvil یعنی یکی از پربارترین و بدنام‌ترین کارتل‌های باج افزاری به‌عنوان سرویس RaaS در سال‌های اخیر است[۳] که محققان حدس می‌زنند این می‌تواند تلاشی برای انحراف توجه از Thanos یا حیله‌ای عمدی برای فریب قربانیان در پرداخت هزینه‌های مربوط به بازپرداخت باشد.

درحالی‌که مسیر نفوذ این باج افزار هنوز نامشخص است، انتظار می‌رود این گروه برای دستیابی به دسترسی اولیه، دسترسی به شبکه‌های هدف را خریداری کرده یا حملات فیشینگ spear و حملات brute-force را انجام دهند. به دنبال یک بهره‌برداری موفقیت‌آمیز، Prometheus modus operandi شامل خاتمه دادن به فرایندهای پشتیبان گیری و مربوط به نرم‌افزار امنیتی در سیستم برای قفل‌کردن فایل‌ها در پشت موانع رمزگذاری است.

Santos دراین‌باره گفت: “اپراتورهای باج افزار Prometheus برای هر قربانی یک payload منحصربه‌فرد تولید می‌کنند که برای بازیابی فایل‌ها از سایت مذاکره آن‌ها استفاده می‌شود.” همچنین Santos اضافه کرد که مقدار باج درخواستی بین ۶ تا ۱۰۰ هزار دلار است که بستگی به نوع سازمان دارد و این میزان درصورتی‌که قربانی در مدت‌زمان تعیین‌شده آن را پرداخت نکند، دو برابر خواهد شد.

این توسعه همچنین در حالی صورت می‌گیرد که گروه‌های جرایم اینترنتی به‌طور فزاینده‌ای دستگاه‌های SonicWall را برای نقض شبکه‌های شرکتی و استقرار باج افزار هدف قرار داده‌اند. گزارشی که این هفته توسط CrowdStrike منتشر شد[۴]، شواهدی از آسیب‌پذیری‌های دسترسی از راه دور (CVE-2019-7481) را در دستگاه‌های VPN SonicWall SRA 4600 به‌عنوان یک بردار دسترسی اولیه برای حملات باج افزارها که سازمان‌های جهانی را هدف قرار داده، یافته است.

منابع

[۱] https://unit42.paloaltonetworks.com/prometheus-ransomware

[۲] https://unit42.paloaltonetworks.com/thanos-ransomware

[۳] https://thehackernews.com/2021/06/beef-supplier-jbs-paid-hackers-11.html

[۴] https://www.crowdstrike.com/blog/how-ecrime-groups-leverage-sonicwall-vulnerability-cve-2019-7481

[۵] https://thehackernews.com/2021/06/emerging-ransomware-targets-dozens-of.html