Ransomware : Un nouveau groupe du nom de Prometheus se vante d’avoir fait plus de 30 victimes à ce jour
Le ransomware Prometheus est apparu pour la première fois en février de cette année. Non seulement les criminels à l’origine de cette opération chiffrent les réseaux et exigent une rançon pour la clé de déchiffrement, mais ils utilisent également une technique de double extorsion, menaçant de divulguer les données volées si la rançon demandée n’est pas payée.
L’analyse des chercheurs en cybersécurité de Palo Alto Networks montre que, comme de nombreuses opérations de ransomware en 2021, le groupe fonctionne comme une entreprise professionnelle, allant même jusqu’à qualifier les victimes de cyberattaques de « clients », et à communiquer avec elles via un système de tickets.
Plus de 30 victimes, mais seulement quatre ont payé la rançon
Les cybercriminels à l’origine de Prometheus affirment avoir touché plus de 30 victimes dans le monde jusqu’à présent, notamment des organisations en Amérique du Nord, en Europe et en Asie. Parmi les secteurs que Prometheus prétend avoir touchés figurent les administrations publiques, les services financiers, l’industrie, la logistique, le conseil, l’agriculture, les services de santé, l’assurance, l’énergie et le droit.
Toutefois, selon Palo Alto, le “leak site” du groupe affiche que seules quatre victimes ont payé à ce jour : une entreprise agricole péruvienne, un fournisseur de services de santé brésilien et des organisations de transport et de logistique en Autriche et à Singapour, selon Palo Alto.
L’une des caractéristiques de Prometheus est d’utiliser la marque d’un autre groupe de ransomware dans son infrastructure, se présentant comme le “Group of REvil”, sur la note de rançon comme sur ses plateformes de communication.
Prometheus utiliserait la “marque” REvil
REvil est l’une des opérations de ransomware les plus tristement célèbres et les plus couronnées de succès, qui a fait une série de victimes de premier plan. Le FBI a récemment attribué l’attaque par ransomware contre le transformateur de viande JBS à ce groupe, qui opérerait depuis la Russie.
Cependant, malgré l’utilisation du nom de REvil, il ne semble pas y avoir de lien entre les deux opérations. Il est en fait probable que Prometheus tente d’utiliser le nom d’une opération criminelle établie afin d’augmenter ses chances que les victimes paient la rançon.
« Comme il n’y a pas de lien solide autre que la référence du nom, notre théorie est qu’ils utilisent le nom de REvil pour augmenter leurs chances d’obtenir un paiement. Si vous faites une recherche sur REvil, les titres vont parler d’eux-mêmes, alors qu’une recherche sur le ransomware Prometheus n’aurait probablement rien donné de majeur », explique à ZDNet Doel Santos, analyste des renseignements sur les menaces à l’unité 42 de Palo Alto Networks.
Des liens entre Thanos et Prometheus
Les chercheurs notent par contre que l’opération a des liens étroits avec le ransomware Thanos, apparu pour la première fois en vente sur des forums clandestins au premier semestre 2020. Son comportement et son infrastructure sont presque identiques à ceux de Prometheus, ce qui pourrait suggérer que Thanos et Prometheus sont gérés par le même groupe de criminels.
Si les chercheurs n’ont pas été en mesure d’identifier la méthode exacte par laquelle Prometheus est transmis aux victimes, on sait que Thanos est distribué en achetant l’accès à des réseaux qui ont été précédemment compromis par des malwares, par des attaques par force brute contre des mots de passe couramment utilisés et par des attaques de phishing.
Après avoir compromis les victimes avec un ransomware, Prometheus adapte la rançon en fonction de la cible, avec des demandes allant de 6 000 à 100 000 dollars. Le montant est doublé si la victime ne paie pas dans la semaine. La rançon est demandée en Monero, car les transactions ont moins de chances d’être détectées, ou les biens saisis par les forces de l’ordre, qu’en bitcoin.
L’authentification multifactorielle comme bouclier
Le groupe semble être toujours actif et il devrait continuer tant que ses attaques resteront rentables. « Tant que Prometheus continuera à cibler des organisations vulnérables, il continuera à mener des campagnes », indique Doel Santos. « A l’avenir, le groupe devrait ajouter de nouvelles victimes à son leak site, et modifier ses techniques si nécessaire », ajoute-t-il.
Prometheus, comme d’autres groupes de ransomware, s’appuie sur la violation de comptes d’utilisateurs pour s’implanter sur les réseaux. Ainsi, le meilleur moyen pour s’en protéger, notamment pour les organisations, est d’utiliser l’authentification multifactorielle.
Le déploiement de cette méthode auprès de tous les utilisateurs constitue une barrière supplémentaire aux cyberattaques, et rend plus difficile pour les cybercriminels d’exploiter des informations d’identification volées comme point de départ de campagnes de ransomware.
Source : ZDNet.com
