Une souche émergente de ransomware dans le paysage des menaces prétend avoir violé 30 organisations en seulement quatre mois depuis qu’elle est devenue opérationnelle, sur les traces d’un syndicat de ransomware notoire.

Observé pour la première fois en février 2021, « Prométhée » est une émanation d’une autre variante de ransomware bien connue appelée Thanos, qui avait déjà été déployée contre des organisations gérées par l’État au Moyen-Orient et en Afrique du Nord l’année dernière.

Les entités concernées seraient le gouvernement, les services financiers, la fabrication, la logistique, le conseil, l’agriculture, les services de santé, les agences d’assurance, les cabinets d’avocats et d’énergie aux États-Unis, au Royaume-Uni et dans une douzaine de pays d’Asie, d’Europe, du Moyen-Orient, et en Amérique du Sud, selon une nouvelle étude publiée par l’équipe de renseignement sur les menaces de l’Unité 42 de Palo Alto Networks.

Comme d’autres gangs de rançongiciels, Prometheus tire parti des tactiques de double extorsion et héberge un site de fuite Web sombre, où il nomme et humilie de nouvelles victimes et rend les données volées disponibles à l’achat, tout en réussissant à injecter un vernis de professionnalisme dans son criminel Activités.

« Prometheus fonctionne comme une entreprise professionnelle », a déclaré Doel Santos, analyste du renseignement sur les menaces de l’Unité 42. « Il qualifie ses victimes de » clients « , communique avec elles à l’aide d’un système de billetterie du service client qui les avertit lorsque les échéances de paiement approchent et utilise même une horloge pour compter les heures, les minutes et les secondes jusqu’à une échéance de paiement. « 

Cependant, seulement quatre des 30 organisations concernées ont choisi de payer des rançons à ce jour, a révélé l’analyse de la société de cybersécurité, notamment une entreprise agricole péruvienne, un fournisseur de services de santé brésilien et deux organisations de transport et de logistique en Autriche et à Singapour.

Il convient de noter que malgré les liens étroits de Prometheus avec Thanos, le gang prétend être un « groupe de REvil », l’un des cartels les plus prolifiques et les plus tristement célèbres de ransomware-as-a-service (RaaS) de ces dernières années, ce que les chercheurs spéculent pourrait être une tentative de détourner l’attention de Thanos ou un stratagème délibéré pour amener les victimes à payer en s’appuyant sur une opération établie.

Bien que la route d’intrusion du ransomware reste encore incertaine, il est prévu que le groupe achète un accès aux réseaux cibles ou organise des attaques de spear-phishing et de force brute pour obtenir un accès initial. Après un compromis réussi, le modus operandi de Prometheus consiste à mettre fin aux processus liés aux logiciels de sauvegarde et de sécurité sur le système pour verrouiller les fichiers derrière des barrières de cryptage.

« Les opérateurs de ransomware Prometheus génèrent une charge utile unique par victime, qui est utilisée pour leur site de négociation pour récupérer des fichiers », a déclaré Santos, ajoutant que la demande de rançon varie entre 6 000 $ et 100 000 $ selon l’organisation victime, un prix qui est doublé si le la victime ne paie pas dans le délai imparti.

Le développement intervient également alors que les groupes de cybercriminalité ciblent de plus en plus les appareils SonicWall pour violer les réseaux d’entreprise et déployer des ransomwares. Un rapport publié par CrowdStrike cette semaine trouvé preuve de vulnérabilités d’accès à distance (CVE-2019-7481) dans les appliances VPN SonicWall SRA 4600 exploitées comme vecteur d’accès initial pour les attaques de ransomware ciblant les organisations du monde entier.