Negli ultimi quattro mesi, il team Unit 42 ha seguito le attività di Prometheus, un nuovo attore nel mondo del ransomware che utilizza malware e tattiche simili al ben noto Thanos.
Prometheus sfrutta tecniche di doppia estorsione e ospita un sito di leak, dove mostra nuove vittime e pubblica dati rubati disponibili per l’acquisto. Sostiene di aver violato 30 organizzazioni in vari settori, tra cui governativo, servizi finanziari, produzione, logistica, consulenza, agricoltura, servizi sanitari, agenzie di assicurazione, energia e studi legali negli Stati Uniti, Regno Unito e una dozzina di altri paesi tra Asia, Europa, Medio Oriente e Sud America.
Come molti gruppi di ransomware, Prometheus funziona come un’azienda vera e propria. Si riferisce alle sue vittime come “clienti”, comunica con loro utilizzando un sistema di ticketing che li avverte quando si stanno avvicinando le scadenze di pagamento e utilizza anche un orologio per il conto alla rovescia.
“Stiamo chiudendo il ticket e abbiamo lanciato un’asta sui vostri dati” minaccia il gruppo quando le vittime non pagano. Ma c’è una via d’uscita: le vittime possono cliccare per aprire un nuovo “ticket”, se disposte a pagare per fermare l’asta e recuperare i loro dati.
Solo quattro vittime hanno pagato finora, secondo il sito di leak del gruppo, tra cui una società agricola peruviana, un fornitore di servizi sanitari brasiliano e organizzazioni di trasporto e logistica in Austria e a Singapore. Tuttavia, non è stato possibile confermare gli importi del riscatto.
Un aspetto interessante è che Prometheus sostiene di essere parte della famigerata gang di ransomware REvil. Unit 42 non ha osservato alcuna indicazione sul fatto che le due organizzazioni siano collegate, e l’affermazione potrebbe essere un tentativo di sfruttare il nome di REvil per convincere le vittime a pagare, o per distogliere l’attenzione da Thanos.
Questa analisi ha l’obiettivo di far luce sulla minaccia posta dall’emergere di nuove gang di ransomware come Prometheus, in grado di scalare rapidamente nuove operazioni abbracciando il modello ransomware-as-a-service (RaaS), in cui si procurano codice ransomware, infrastruttura e accesso a reti compromesse da fornitori esterni. Il modello RaaS ha abbassato la sbarra d’ingresso per le bande di ransomware.
Il ransomware Prometheus è stato rilevato per la prima volta nel febbraio 2021 ed è una nuova variante personalizzata del più noto Thanos, il ransomware è stato offerta alla vendita e pubblicizzato sui forum underground almeno dalla prima metà del 2020, con un builder che permetteva agli attaccanti di personalizzare il proprio esemplare con una vasta gamma di impostazioni possibili. Questo suggerisce che potrebbe essere stato sfruttato creare proprie varianti e marchi.
La nostra attenzione è rivolta a uno di questi autori di minacce, Prometheus. Come anticipato, questa gang di ransomware sostiene di far parte di REvil, ma non abbiamo notato nessuna solida connessione tra i due gruppi. REvil opera su un programma RaaS guidato da affiliati, ma crediamo che quello di Prometheus possa agire per conto proprio e tentare di sfruttare il famigerato nome e la reputazione di REvil per migliorare la possibilità che le vittime paghino il riscatto richiesto. Non sarebbe la prima volta che gli avversari utilizzano nomi di noti gruppi cybercriminali per rafforzare la loro credibilità.
Quando il ransomware Prometheus viene eseguito, cerca di bloccare diversi processi di backup e legati al software di sicurezza, come Raccine, uno strumento di prevenzione del ransomware che cerca di impedire la cancellazione di copie ombra in Windows.
Il settore manifatturiero è stato il più bersagliato finora con 5 organizzazioni colpite, a conferma di quanto spesso i gruppi ransomware prendano oggi di mira il settore industriale – con gli attacchi a Colonial Pipeline e JBS che hanno dominato la cronaca nelle ultime settimane – seguito da trasporti e logistica.
Il blog completo è disponibile qui https://unit42.paloaltonetworks.com/prometheus-ransomware/
