Unité 42 met en garde contre l’émergence Prometheus ransomware

Une opération de ransomware à double extorsion relativement nouvelle appelée Prometheus fait des vagues parmi les organisations du gouvernement, des services financiers, de la fabrication, de la logistique, du conseil, de l’agriculture, des soins de santé, de l’assurance, de l’énergie et des secteurs juridiques, et a fait de multiples victimes à l’échelle mondiale, selon une recherche compilée par l’équipe unit 42 de Palo Alto Networks.

Apparemment, une nouvelle variante d’un ransomware bien connu appelé Thanos, qui a été vendu sur les forums Web sombres depuis plus d’un an à ce stade, Prometheus a d’abord surgi en Février de cette année. Selon Doel Santos de l’Unité 42, il a maintenant fait 30 victimes, Santos ajoutant que l’ascension rapide de Prometheus était une source d’intérêt.

« Nous avons compilé ce rapport pour faire la lumière sur la menace posée par l’émergence de nouveaux gangs de ransomware comme Prometheus, qui sont en mesure de développer rapidement de nouvelles opérations en adoptant le ransomware-as-a-service [RaaS] modèle, dans lequel ils se procurent le code ransomware, l’infrastructure et l’accès aux réseaux compromis de fournisseurs externes. Le modèle RaaS a abaissé la barrière à l’entrée pour les gangs ransomware », a écrit Santos dans un blog de divulgation publié cette semaine.

« Seules quatre victimes ont payé à ce jour, selon le site de fuite du groupe. Elle affirme qu’une entreprise agricole péruvienne, un prestataire brésilien de services de santé et des organisations de transport et de logistique en Autriche et à Singapour ont payé des rançons. Cependant, nous ne sommes pas en mesure de confirmer le montant de la rançon », a-t-il déclaré.

Fait intéressant, ses opérateurs prétendent être affiliés d’une manière ou d’une autre au groupe ReVIL ou Sodinokibi, bien que Santos ait déclaré qu’il n’avait trouvé aucun lien solide entre les deux. Il a suggéré que l’équipage du Prometheus pourrait essayer de voler sur les queues de manteau de ReVIL dans une certaine mesure, en utilisant leur infamie pour augmenter les chances d’un paiement.

Santos a déclaré que, comme beaucoup d’autres ransomwares actuels, Prometheus se déroule avec un air de pseudo-professionnalisme, se référant aux victimes comme des clients, et en utilisant un système de billetterie de service à la clientèle pour les négociations.

Comme d’autres – comme Conti – les opérateurs de Prometheus recherchent leurs cibles à l’avance pour adapter leurs demandes de rançon. D’après les informations disponibles, les rançons ont varié de $6,000 à $100,000, payable dans la crypto-monnaie monero. La demande initiale a tendance à doubler si les victimes ne répondent pas dans un délai d’une semaine.

Au moment d’écrire ces lignes, a-t-il ajouté, il y a peu d’informations sur la façon dont la charge utile Prometheus est livrée à ses victimes, mais cela pourrait bien être via des informations d’identification de forçage brut, l’achat d’un accès privilégié ou le spear phishing.

Plus de détails sur le fonctionnement du gang, y compris les indicateurs de compromission (IoCs) et les tactiques, techniques et procédures pertinentes, peuvent être lus ici.