Prometheus ransomware

I månedsskiftet mai/juni har Secunor håndtert ransomware-hendelser forårsaket av den nokså ukjente gruppa “Prometheus” for to norske virksomheter, og fått betydelig innsikt i hendelser hos andre ofre i Norge og utlandet.

Prometheus er raske. Veldig raske. Inn og ut, ferdig kryptert, på 25 minutter. Man kan faktisk bli litt imponert. Heldigvis er det en god del ved operasjonene deres som ikke er spesielt imponerende også.

Nøkkelen til Prometheus sin effektivitet er automatisering og utnyttelse av kjente sårbarheter. I de siste tilfellene har de utnyttet en sårbarhet i FortiGate-brannmurer som gjør det mulig å hente ut brukernavn og passord fra tidligere SSLVPN-klienter i klartekst (CVE-2018-13379). Så fort de er på innsiden av VPN, starter de kartlegging av nettverket og identifisering av sårbare Windows-maskiner. På de 25 minuttene rakk de å kartlegge nettverket, identifisere sårbare servere, utnytte sårbarhetene, skaffe seg administratorprivilegier, opprette en ny administratorbruker, kryptere data, slette sporene sine og etterlate løsepengekrav.

La det være en påminnelse om å holde programvaren oppdatert. Det er det enkleste, billigste og mest effektive virkemiddelet du har for å unngå å bli neste offer.

Leave a Reply

%d bloggers like this: