Neue Ransomware-Gruppe brüstet sich mit 30 Opfern in drei Monaten

Stefan Beiersmann,
Ransomware (Grafik: Shutterstock)

Gezahlt haben offenbar aber nur vier “Kunden” der Prometheus-Erpresser. Darunter ist ein Logistikunternehmen in Österreich. Die Cyberkriminellen behaupten zudem, zur weltweit bekannten Erpressergruppe REvil zu gehören.

Sicherheitsforscher von Palo Alto Networks haben sich mit der Ransomware Prometheus beschäftigt, die erstmals im Februar entdeckt wurde. Die Hintermänner, die ihr kriminelles Geschäft demnach wie ein professionelles Unternehmen betreiben, wollen nach eigenen Angaben bereits mehr als 30 Organisationen in Nordamerika, Europa und Asien erpresst haben. Um ihren Forderungen Nachdruck zu verleihen, geben die Erpresser sogar vor, zur Ransomware-Gruppe REvil zu gehören.

Allerdings haben nach eigenen Angaben der Cybererpresser bisher nur vier Opfer, die sie selbst als “Kunden” bezeichnen, auch ein Lösegeld bezahlt. Darunter sind ein Gesundheitsdienstleister aus Brasilien und Logistikunternehmen aus Österreich und Singapur.

Die Vorgehensweise von Prometheus entspricht der vieler anderer Ransomware-Varianten. Die Erpresser begnügen sich nicht mehr damit, Daten zu verschlüsseln, die kopieren auch unverschlüsselte Daten vorab auf eigene Server. Sollten die Opfer nicht bereit sein, ein Lösegeld für die Entschlüsselung der Daten zu bezahlen, werden die Kopien im Internet veröffentlicht – oder gar an andere Cyberkriminelle verkauft.

Als weiteres Druckmittel behaupten die Hintermänner von Prometheus in ihrer Lösegeldforderung, sie gehörten zur REvil-Gruppe. Laut Palo Alto Networks gibt es jedoch keine Hinweise auf eine Zusammenarbeit zwischen den beiden Gruppen. “Da es außer der Erwähnung des Namens keine feste Verbindung gibt, ist unsere Theorie, dass sie den Namen REvil ausnutzen, um ihre Chancen auf eine Zahlung zu erhöhen. Wenn Sie nach REvil suchen, werden die Schlagzeilen für sich selbst sprechen, im Gegensatz zur Suche nach Prometheus Ransomware, bei der wahrscheinlich nichts Bedeutendes herausgekommen wäre”, sagte Doel Santos, Threat Intelligence Analyst bei Palo Alto Networks.

Die Forscher sind jedoch davon überzeugt, dass Prometheus mit der Ransomware Thanos verbunden ist. Sie wurde erstmals im ersten Halbjahr 2020 in Untergrundforen angeboten. Mit Thanos soll sich Prometheus vor allem Teile der Infrastruktur teilen. Die Forscher vermuten, dass hinter beiden Schadprogrammen dieselben Cyberkriminellen stecken.

Wie die Prometheus-Erpressersoftware in die Netzwerke der Opfer gelangt, ist bisher nicht bekannt. Für die Verbreitung von Thanos werden unter anderem Brute-Force- und Phishing-Angriffe benutzt. Die Hintermänner sollen aber auch Zugänge zu bereits mit anderer Schadsoftware infizierte Netzwerke genutzt haben.

Die Lösegeldforderungen passen die Erpresser offenbar stets individuell an ihre Opfer an. Die Forscher ermittelten Beträge zwischen 6000 und 100.000 Dollar, zahlbar in der Kryptowährung Monero. Zahl ein Opfer nicht innerhalb einer Woche, verdoppelt sich der Betrag. Palo Alto geht zudem davon aus, dass die Prometheus-Gruppe weiterhin aktiv ist.