L’unité 42 met en garde contre l’émergence du ransomware Prometheus
3 min readUne double extorsion relativement nouvelle opération de ransomware appelé Prometheus fait des vagues parmi les organisations du gouvernement, des services financiers, de la fabrication, de la logistique, du conseil, de l’agriculture, de la santé, des assurances, de l’énergie et des secteurs juridiques, et a fait de nombreuses victimes dans le monde, selon des recherches rassemblées par Unité 42 de Palo Alto Networks équipe.
Apparemment, une nouvelle variante d’un ransomware bien connu appelé Thanos, qui a été vendu sur des forums Web sombres depuis plus d’un an à ce stade, Prometheus est apparu pour la première fois en février de cette année. Selon Doel Santos de l’Unité 42, il a maintenant fait 30 victimes, Santos ajoutant que l’ascension rapide de Prométhée était une source d’intérêt.
“Nous avons compilé ce rapport pour faire la lumière sur la menace posée par l’émergence de nouveaux gangs de ransomware comme Prometheus, qui sont capables d’étendre rapidement de nouvelles opérations en adoptant le ransomware-as-a-service [RaaS] modèle, dans lequel ils se procurent du code ransomware, une infrastructure et un accès aux réseaux compromis auprès de fournisseurs externes. Le modèle RaaS a abaissé la barrière à l’entrée pour les gangs de ransomware », a écrit Santos dans un blog de divulgation publié cette semaine.
«Seules quatre victimes ont payé à ce jour, selon le site de fuite du groupe. Il affirme qu’une entreprise agricole péruvienne, un fournisseur de services de santé brésilien et des organisations de transport et de logistique en Autriche et à Singapour ont payé des rançons. Cependant, nous ne sommes pas en mesure de confirmer les montants de la rançon », a-t-il déclaré.
Fait intéressant, ses opérateurs prétendent être affiliés d’une manière ou d’une autre à le groupe ReVIL ou Sodinokibi, bien que Santos ait déclaré qu’il n’avait trouvé aucun lien solide entre les deux. Il a suggéré que l’équipage de Prometheus essayait peut-être de voler sur les queues de ReVIL dans une certaine mesure, en utilisant leur infamie pour augmenter les chances d’un paiement.
Santos a déclaré que, comme beaucoup d’autres ransomwares actuels, Prometheus fonctionne avec un air de pseudo-professionnalisme, se référant aux victimes en tant que clients et utilisant un système de ticket de service client pour les négociations.
Comme les autres – comme Conti – Les opérateurs de Prometheus recherchent leurs cibles à l’avance pour adapter leurs demandes de rançon. D’après les informations disponibles, les rançons ont varié de 6 000 $ à 100 000 $, payables dans la crypto-monnaie monero. La demande initiale tend à être doublée si les victimes ne répondent pas dans un délai d’une semaine.
Au moment de la rédaction, a-t-il ajouté, il existe peu d’informations sur la manière dont la charge utile de Prometheus est livrée à ses victimes, mais cela pourrait bien se faire via des identifiants de force brute, l’achat d’un accès privilégié ou le spear phishing.
Plus de détails sur le fonctionnement du gang, y compris les indicateurs de compromission (IoC) et les tactiques, techniques et procédures pertinentes, peut être lu ici.