Gang Prometheus Ransomware: um grupo de vilões?

blank

Sumário executivo

Google News

A Unidade 42 passou os últimos quatro meses acompanhando as atividades do Prometheus, um novo jogador no mundo do ransomware que usa malware e táticas semelhantes para o veterano em ransomware Thanos .

Prometheus aproveita táticas de extorsão dupla e hospeda um site de vazamento, onde nomeia novas vítimas e publica dados roubados disponíveis para compra. Ela afirma ter violado 30 organizações no governo, serviços financeiros, manufatura, logística, consultoria, agricultura, serviços de saúde, agências de seguros, energia e escritórios de advocacia nos Estados Unidos, Reino Unido e mais uma dúzia de países na Ásia, Europa, Meio América do Sul e Leste.

Como muitas gangues de ransomware, o Prometheus funciona como uma empresa profissional. Refere-se às vítimas como “clientes”, comunica-se com eles por meio de um sistema de bilhetagem de atendimento ao cliente que os avisa quando os prazos de pagamento se aproximam e até usa um relógio para contar as horas, minutos e segundos até o prazo de pagamento.

“Estamos fechando o ingresso e iniciamos um leilão de seus dados”, ameaça o grupo quando as vítimas não pagam. Mas há uma saída: as vítimas podem clicar para abrir um novo “tíquete” se estiverem dispostas a pagar para interromper o leilão e recuperar seus dados.

Apenas quatro vítimas pagaram até o momento, de acordo com o site do grupo. Ela afirma que uma empresa agrícola peruana, uma prestadora de serviços de saúde brasileira e organizações de transporte e logística na Áustria e Cingapura pagaram resgates. No entanto, não podemos confirmar os valores do resgate.

Uma observação interessante é que Prometheus afirma fazer parte da famosa gangue de ransomware REvil . A Unidade 42 não viu nenhuma indicação de que essas duas gangues de ransomware estejam relacionadas de alguma forma. A reclamação pode ser uma tentativa de explorar o nome de REvil para persuadir as vítimas a pagar, ou pode ser uma bandeira falsa para desviar a atenção de Thanos.

Compilamos este relatório para esclarecer a ameaça representada pelo surgimento de novas gangues de ransomware como a Prometheus, que são capazes de expandir rapidamente novas operações adotando o modelo ransomware-as-a-service (RaaS), em que adquirir código de ransomware, infraestrutura e acesso a redes comprometidas de fornecedores externos. O modelo RaaS reduziu a barreira de entrada para gangues de ransomware.

A visualização completa das técnicas do Prometheus observadas e os cursos de ação relevantes para a resposta podem ser vistos no Unit 42 ATOM Viewer .

Se você acha que pode ter sido afetado, envie um e-mail para [email protected] ou ligue para (855) 875-4631 para entrar em contato com a equipe de Resposta a Incidentes da Unidade 42.

Visão geral do Prometheus Ransomware

O ransomware Prometheus foi observado pela primeira vez em fevereiro de 2021 e é uma nova variante de uma cepa conhecida chamada Thanos . O ransomware Thanos foi anunciado para venda em fóruns clandestinos desde pelo menos o primeiro semestre de 2020, onde tem um construtor que permite aos atores personalizar uma amostra com uma ampla variedade de configurações disponíveis. Isso sugere que diferentes agentes de ameaças podem ter aproveitado esse construtor para criar suas próprias variantes e marcas.

Nesse caso, voltamos nossa atenção para um desses atores da ameaça, Prometheus. Embora essa gangue de ransomware afirme fazer parte do REvil, não vimos nenhuma outra conexão sólida entre os dois grupos. REvil opera em um programa RaaS dirigido por afiliados, mas acreditamos que a gangue de ransomware Prometheus pode estar agindo por conta própria e tentando alavancar o nome e a reputação do infame REvil para aumentar a chance de que as vítimas paguem o resgate exigido. Esta não seria a primeira vez que adversários usariam nomes de grupos de ameaças bem conhecidos para fortalecer sua credibilidade.

No momento em que este artigo foi escrito, não temos informações sobre como o Prometheus ransomware está sendo entregue, mas os agentes de ameaças são conhecidos por comprar acesso a certas redes, credenciais de força bruta ou spear phishing para acesso inicial.

Quando o Prometheus ransomware é executado, ele tenta matar vários backups e processos relacionados a software de segurança, como Raccine , uma ferramenta de prevenção de ransomware que tenta impedir que o ransomware exclua cópias de sombra no Windows. Aqui está um exemplo de sua abordagem:

Este é um exemplo da abordagem que o Prometheus ransomware usa para interromper a ferramenta de prevenção de ransomware Raccine.

O ransomware Prometheus anexa uma extensão usando o seguinte formato: [ XXX-XXX-XXXX ] (Figura 1). Descobrimos que as extensões são codificadas na amostra. Acreditamos que os operadores de ransomware Prometheus geram uma carga útil única por vítima, que é usada em seu site de negociação para recuperar arquivos. Ofuscamos as extensões porque elas poderiam ser usadas para identificar as vítimas no local do vazamento. O Prometheus também adiciona uma string hexadecimal de GotAllDone no final de todos os arquivos criptografados.

Acreditamos que os operadores de ransomware Prometheus geram uma carga útil única por vítima. O ransomware anexa uma extensão de arquivo que pode ser usada para identificar as vítimas no site do vazamento, e é por isso que as ofuscamos aqui.
Figura 1. Arquivos criptografados após a execução.

Após os processos de backup e segurança serem encerrados e a criptografia concluída, o Prometheus ransomware descarta duas notas de resgate: um arquivo RESTORE_FILES_INFO.TXT e um arquivo RESTORE_FILES_INFO.TXT.hta (Figura 2), ambos contendo as mesmas informações.

"A rede da sua empresa foi hackeada", leia os arquivos .TXT disponibilizados pelo ransomware Prometheus. Na nota, o grupo afirma estar associado ao REvil, embora os pesquisadores da Unidade 42 não tenham encontrado evidências para confirmar essa afirmação.
Figura 2. RESTORE_FILES_INFO.hta.

A nota de resgate também inclui instruções para entrar em contato com os operadores de ransomware Prometheus para recuperar arquivos, bem como informar a vítima que, se as demandas não forem atendidas, os atores da ameaça irão liberar os dados ao público ou vendê-los a terceiros.

Uma vez que as extensões são usadas como identificador da vítima, seguindo as instruções na nota de resgate, pudemos dar uma olhada na parte de negociação de seu site usando a ID das extensões para obter acesso. Curiosamente, este grupo usa um sistema de bilhetagem para rastrear as vítimas. Os tickets incluem uma identificação de rastreamento, data de criação, status de resolução e prioridade. A vítima pode até abrir um tíquete com os atores da ameaça para solicitar a recuperação dos dados – embora isso vá custar mais, de acordo com o site (Figura 3).

Este exemplo de como o Prometheus responde a um tíquete de vítima diz: "Você não nos contatou em 3 dias. Estamos fechando o tíquete e iniciamos um leilão de seus dados. Se você ainda deseja recuperar os dados, abra um pedido."
Figura 3. Resposta do Prometheus a um tíquete de vítima.

A gangue de ransomware Prometheus ajusta seu pedido de resgate de acordo com a organização da vítima. Das instâncias disponíveis observadas, vimos pagamentos solicitados tão baixos quanto $ 6.000 e tão altos quanto $ 100.000 em Monero (XMR). Esse preço é dobrado se as vítimas não contatarem os atores da ameaça dentro do prazo estabelecido, que em média é uma semana. No momento em que este artigo foi escrito, quatro vítimas pagaram o resgate, incluindo uma empresa agrícola sediada no Peru, uma prestadora de serviços de saúde no Brasil e duas organizações de transporte e logística – uma localizada na Áustria e a outra em Cingapura.

Este exemplo de tíquete de vítima do Prometheus mostra um relógio de contagem regressiva para a vítima e avisa: "Se você não pagar no prazo, o preço será dobrado."
Figura 4. Tíquete de vítima do Prometheus.

blankComo muitas gangues de ransomware atuais, esse grupo também criou um site de vazamento (uma seção diferente do mesmo site que hospeda o “sistema de tíquetes”) onde eles nomeiam e envergonham suas vítimas (Figura 5).

O site de vazamento da Prometheus anuncia a venda de dados da empresa.
Figura 5. Local de vazamento de Prometheus.

blankOs operadores de ransomware Prometheus incluem um status por vítima. Descobrimos que algumas das informações postadas no site do vazamento já foram vendidas a um terceiro desconhecido. Também há postagens mostrando que as vítimas nos setores afetados pagaram o resgate e seus dados foram removidos do local (Figura 6).

O status de vítima do site de vazamento para o Prometheus ransomware mostrou mais de 15 vítimas com dados para slae, mais de 5 com dados vendidos, 4 cujas empresas pagaram e 1 esperando.
Figura 6. Status de vítima do site de vazamento para Prometheus ransomware em 30 vítimas.

Prometheus Victimology

No momento em que este artigo foi escrito, o site do vazamento Prometheus hospedava 30 vítimas, impactando vários setores em todo o mundo. Observando suas vítimas listadas, geramos este gráfico, mostrando os locais das organizações afetadas por este ransomware.

Locais das vítimas afetadas por este ransomware, em ordem de prevalência: EUA, Noruega, França, Peru, Brasil, Reino Unido, Malásia, Chile, Áustria, Gana, Itália, Índia, Emirados Unidos, Cingapura.
Figura 7. Países afetados pelo Prometheus ransomware em 30 vítimas.

A manufatura foi a indústria mais impactada entre as organizações vítimas que observamos, seguida de perto pela indústria de transporte e logística.

A manufatura foi a indústria mais impactada entre as organizações vítimas que observamos, seguida de perto pela indústria de transporte e logística.
Figura 8. Indústrias afetadas pelo ransomware Prometheus em 30 vítimas.

Variantes mais antigas do Prometheus

A primeira amostra de Prometheus encontrada, observada pela primeira vez em fevereiro de 2021 (SHA256: 9bf0633f41d2962ba5e2895ece2ef9fa7b546ada311ca30f330f0d261a7fb184 ), se comporta de forma semelhante à variante mais recente que estamos rastreando no momento. No entanto, ele acrescenta a seguinte extensão aos arquivos criptografados: .PROM [prometheushelp @ mail [.] Ch] .

Algumas das amostras observadas, quando executadas, abriram um Shell de Comando do Windows mostrando o progresso da criptografia (Figura 9). Os exemplos mais recentes do Prometheus não exibem essas informações.

Algumas das amostras observadas, quando executadas, abriram um Shell de Comando do Windows mostrando o progresso da criptografia, conforme visto aqui.
Figura 9. Janela de progresso da criptografia.

Outra variante (SHA256: 11aebdff8c064c160c2b21f3a844bacaecd581d9dc2e4224d31903d2a56e2dd3 ) anexou o formato de extensão .XXXXXXXXXX [prometheusdec @ yahoo [.] Com] aos arquivos criptografados em que o X é o ID da vítima criptografado. Como a variante atual, ele gera dois arquivos de notas de resgate. A nota de resgate inclui duas formas de contato com o grupo, diferentes das oferecidas pela variante atual (Figura 10). Com base no conteúdo e nas instruções fornecidas por esta variante, acreditamos que a Prometheus não tinha um site de vazamento estabelecido no momento em que foi distribuído.

Versões mais antigas da nota de resgate do Prometheus ofereciam dois métodos de contato que sugerem que o grupo ainda não havia estabelecido um local de vazamento.
Figura 10. RESTORE_FILES_INFO.hta (conforme enviado por uma variante mais antiga do Prometheus).

Em vez de direcionar a vítima para o site de vazamento como a variante atual faz, a variante mais antiga do Prometheus instrui a vítima a ir a um site Tor chamado Sonar, um serviço de mensagens baseado na web, e criar uma conta. Depois que a conta é criada, a nota de resgate instrui a vítima a enviar uma mensagem para o nome de usuário Prometheus, contendo o identificador de extensão do arquivo e um link para três arquivos criptografados para fornecer prova de descriptografia. O segundo método de contato é por e-mail e inclui três endereços de e-mail para contato, solicitando as mesmas informações do primeiro método.

Isso nos ajuda a entender como o grupo de ransomware Prometheus operava originalmente e mostra a evolução de sua abordagem para garantir o pagamento antes de decidir iniciar seu próprio site de vazamento.

Conclusão

Prometheus é uma gangue de ransomware nova e emergente que usa uma variante personalizada do ransomware Thanos. Os operadores por trás deste ransomware estão visando ativamente vários setores em todo o mundo. Como muitos outros grupos de ransomware, o Prometheus hospeda um site de vazamento para criar pressão adicional e envergonhar as vítimas para que paguem o resgate. Embora a Prometheus afirme fazer parte da gangue de ransomware REvil, durante nossa pesquisa, não encontramos uma conexão sólida entre os dois grupos de ransomware no momento em que escrevemos este relatório.

Os indicadores associados a esta Avaliação de Ameaças estão disponíveis no GitHub , foram publicados no feed TAXII da Unidade 42 e podem ser visualizados por meio do Visualizador ATOM.

Os clientes da Palo Alto Networks são protegidos dessa ameaça por:

  • WildFire : todas as amostras conhecidas são identificadas como malware.
  • Cortex XDR com:
    • Indicadores para Prometheus / Thanos.
    • Módulo Anti-Ransomware para detectar comportamentos de criptografia Prometheus / Thanos.
    • Detecção de análise local para detectar binários do Prometheus / Thanos.
  • AutoFocus : Rastreamento de atividade relacionada usando a tag Thanos .

Mais informações sobre ransomware podem ser encontradas no 2021 Unit 42 Ransomware Threat Report .

Indicadores de compromisso
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Cursos de ação

Esta seção documenta táticas, técnicas e procedimentos (TTPs) relevantes usados ​​com o Prometheus e os mapeia diretamente para os produtos e serviços da Palo Alto Networks. Ele também instrui os clientes sobre como garantir que seus dispositivos estejam configurados corretamente.

Produto / Serviço Curso de Ação
Persistência, escalonamento de privilégios
Os cursos de ação abaixo atenuam as seguintes técnicas:

Chaves de execução do registro / pasta de inicialização [ T1547.001 ]

Cortex XDR Ativar proteção anti-exploração
Ativar proteção antimalware
Evasão de Defesa
Os cursos de ação abaixo atenuam as seguintes técnicas:

Desativar ou modificar ferramentas [ T1562.001 ], modificar registro [ T1112 ]

Cortex XDR Procure os seguintes alertas BIOCs para detectar atividade: O processo tenta matar uma ferramenta de segurança / AV conhecida
Ativar proteção antimalware
Descoberta
Os cursos de ação abaixo atenuam as seguintes técnicas:

Descoberta de processos [ T1057 ]

Cortex XDR O XDR monitora eventos comportamentais por meio de BIOCs ao longo de uma cadeia de causalidade para identificar comportamentos de descoberta *
Impacto
Os cursos de ação abaixo atenuam as seguintes técnicas:

Dados criptografados para impacto [ T1486 ], inibir recuperação do sistema [ T1490 ]

Cortex XSOAR Implantar XSOAR Playbook – Ransomware Manual para resposta a incidentes.
Deploy XSOAR Playbook – Palo Alto Networks Endpoint Malware Investigation
Cortex XDR Ativar proteção antimalware

Procure os seguintes alertas BIOCs para detectar atividade *:

Agente Cortex XDR – Ameaça comportamental detectada

Tabela 1. Cursos de ação para o ransomware Prometheus.
* Esses detectores analíticos serão acionados automaticamente para clientes Cortex XDR Pro.

A Palo Alto Networks compartilhou nossas descobertas, incluindo amostras de arquivos e indicadores de comprometimento, neste relatório com nossos colegas membros da Cyber ​​Threat Alliance. Os membros do CTA usam essa inteligência para implantar proteções rapidamente para seus clientes e interromper sistematicamente os ciberatores maliciosos. Para obter mais informações sobre a Cyber ​​Threat Alliance, visite www.cyberthreatalliance.org .

Fonte: https://unit42.paloaltonetworks.com/prometheus-ransomware/

Gang Prometheus Ransomware: um grupo de vilões?



Receba nossas notícias em tempo real nos seguindo pelos aplicativos de mensagem abaixo:

blank

Assine nossa Newsletter


Receba todo final de tarde as últimas notícias do DefesaTV em seu e-mail, é de graça!

Assista nosso último episódio: