Nieuwe ransomware-groep Prometheus valt tientallen bedrijven aan

Abonneer je gratis op Techzine!

Het threat intelligence-team van Palo Alto Networks, Unit 42, heeft een nieuwe ransomware-groep ontdekt. De groep gaat onder de naam Prometheus en wordt sinds februari 2021 gevolgd door Unit 42. Het collectief richt zich wereldwijd op verschillende doelwitten en chanteert deze met de dreiging gevoelige data te lekken.

Uit een analyse van Prometheus’ activiteiten blijkt dat de groep inmiddels wereldwijd dertig organisaties geeft getarget. Deze bevinden zich in verschillende sectoren, waaronder de overheid, financiële dienstverlening, consultancy, landbouw en de gezondheidszorg. De maakindustrie werd het meest getroffen met vijf organisaties die slachtoffer werden van de groep. In totaal zouden vier organisaties ook daadwerkelijk losgeld betaald hebben, volgens Prometheus zelf. Het gaat om een Braziliaanse zorgverlener, twee transport- en logistiek bedrijven in Oostenrijk en Singapore en een Peruaans landbouwbedrijf. Hoeveel losgeld er precies is betaald kan Unit 42 echter niet bevestigen.

Gepersonaliseerde variant Thanos-ransomware

Prometheus adverteert zich als een onderdeel van hackersgroep REvil, aldus Unit 42. Het team heeft echter geen link gevonden tussen de twee groepen. Wel zou Prometheus een infrastructuur delen met ransomware-veteraan Thanos. De bende zou een gepersonaliseerde variant gebruiken van de Thanos-ransomware. Hierbij passen de aanvallers een Ransomware-as-a-Service (RaaS)-model toe. Mogelijk wordt de REvil claim gebruikt om slachtoffers meer onder druk te zetten om te betalen. Ook zou het een zogenaamde false flag kunnen zijn om de aandacht af te leiden van Thanos.

Net zoals veel andere ransomware-bendes, draait ook Prometheus als een bedrijf. De groep verwijst naar slachtoffers als zijnde klanten. Het ticketingsysteem van de zogenaamde klantenservice communiceert met de slachtoffers en herinnert deze aan opkomende betalingstermijnen. Wanneer klanten niet betalen krijgen ze het bericht “We sluiten het ticket af en zijn een veiling gestart met je data.” Slachtoffers kunnen daarna een nieuw ticket aanmaken om hun data weer te bemachtigen en te voorkomen dat de veiling doorgaat.

Tip: Ransomware LockerGoga legt aluminiumconcern Norsk Hydro plat