Pourquoi les ransomwares sont-ils une si grande menace et comment défendez-vous votre réseau contre cela ? Regarder maintenant
Une opération de ransomware émergente semble avoir des liens avec un groupe de cybercriminels vétérans dans l'espace, tout en tentant également de se greffer sur la réputation de l'une des formes les plus notoires de ransomware.
Le rançongiciel Prometheus est apparu pour la première fois en février de cette année et non seulement les criminels derrière lui chiffrent les réseaux et demandent une rançon pour la clé de déchiffrement, ils utilisent également des tactiques de double extorsion et menaceront de divulguer des données volées si leurs demandes de crypto-monnaie ne sont pas satisfaites.
Une analyse réalisée par des chercheurs en cybersécurité de Palo Alto Networks détaille comment, comme de nombreuses opérations de ransomware en 2021, le groupe fonctionne comme une entreprise professionnelle, allant même jusqu'à qualifier les victimes de cyberattaques de « clients » et communiquer avec eux via un système de billetterie.
Les cybercriminels derrière Prometheus affirment avoir fait jusqu'à présent plus de 30 victimes dans le monde, y compris des organisations en Amérique du Nord, en Europe et en Asie. Les secteurs que Prometheus prétend avoir touché comprennent le gouvernement, les services financiers, la fabrication, la logistique, le conseil, l'agriculture, les services de santé, les agences d'assurance, l'énergie et le droit.
Cependant, seules quatre victimes ont payé à ce jour, selon le site de fuite du groupe qui affirme qu'une entreprise agricole péruvienne, un fournisseur de services de santé brésilien et des organisations de transport et de logistique en Autriche et à Singapour ont payé des rançons, a déclaré Palo Alto.
< p>Un trait notable de Prometheus est qu'il utilise l'image de marque d'un autre groupe de ransomware dans son infrastructure, prétendant être le « Group of REvil » sur la demande de rançon et sur ses plateformes de communication.
< strong>VOIR : Une stratégie gagnante pour la cybersécurité (rapport spécial ZDNet) | Télécharger le rapport au format PDF (TechRepublic)
REvil est l'une des opérations de ransomware les plus tristement célèbres et les plus réussies, faisant une série de victimes de premier plan. Le FBI a récemment attribué l'attaque de ransomware contre le transformateur de viande JBS au groupe, qui fonctionnerait depuis la Russie.
Cependant, malgré l'utilisation du nom de REvil, il ne semble pas y avoir de lien entre les deux opérations – et il est probable que Prometheus tente d'utiliser le nom d'une opération criminelle établie afin d'augmenter ses chances de recevoir une rançon.
“Comme il n'y a pas de lien solide autre que la référence du nom, notre théorie courante est qu'ils tirent parti du nom REvil pour augmenter leurs chances d'obtenir un paiement. Si vous recherchez REvil, les titres parleront d'eux-mêmes par rapport à la recherche Le ransomware Prometheus où probablement rien de majeur ne serait apparu”, a déclaré à ZDNet Doel Santos, analyste des renseignements sur les menaces à l'Unité 42, Palo Alto Networks.
Les chercheurs notent que l'opération a des liens étroits avec le ransomware Thanos.
Le ransomware Thanos est apparu pour la première fois en vente sur des forums clandestins au cours du premier semestre 2020, mais son comportement et son infrastructure sont presque identiques à ceux de Prometheus, ce qui pourrait suggérer que Thanos et Prometheus sont dirigés par le même groupe de criminels.
Voir : Cette société a été touchée par un ransomware. Voici ce qu'ils ont fait ensuite et pourquoi ils n'ont pas payé
Bien que les chercheurs n'aient pas été en mesure d'identifier la méthode exacte de livraison de Prometheus aux victimes, Thanos est connu pour être distribué à l'aide de l'achat d'accès à des réseaux qui ont déjà été compromis par des logiciels malveillants, des attaques par force brute contre les mots de passe couramment utilisés et le phishing. attaques.
Après avoir compromis les victimes avec un ransomware, Prometheus adapte la rançon en fonction de la cible, avec des demandes allant de 6 000 $ à 100 000 $ – un chiffre qui double si la victime ne paie pas dans la semaine.
La rançon est demandée en Monero, plutôt qu'en Bitcoin, une décision probablement prise parce que les transactions Monero sont plus difficiles à suivre que Bitcoin – il y a donc moins de chance que le groupe soit détecté ou que ses actifs soient saisis par des opérations d'application de la loi.
On pense que le groupe est toujours actif et continuera tant que les attaques resteront rentables.
“Tant que Prometheus continuera à cibler les organisations vulnérables, il continuera à mener des campagnes”, a déclaré Santos. “À l'avenir, nous nous attendons à ce que ce groupe continue d'ajouter des victimes à son site de fuite et de modifier ses techniques si nécessaire”, a-t-il ajouté.
Étant donné la façon dont Prometheus et d'autres groupes de ransomware comptent souvent sur la violation des comptes d'utilisateurs pour intégrer eux-mêmes sur les réseaux, une chose que les organisations peuvent faire pour aider à se protéger contre les attaques de ransomware est d'utiliser l'authentification multifacteur.
Déployer ceci à tous les utilisateurs fournit une barrière supplémentaire aux attaques, ce qui rend l'exploitation plus difficile pour les cybercriminels identifiants volés comme point de départ pour les campagnes de ransomware.
EN SAVOIR PLUS SUR LA CYBERSÉCURITÉ
Les ransomwares se développent à un rythme alarmant, avertit le chef du GCHQLes attaques de ransomware ne sont pas une question de si, mais quand Ransomware : comment le NHS a tiré les leçons de WannaCry pour protéger les hôpitaux contre les attaquesLes États-Unis récupèrent une partie de la rançon de plusieurs millions de dollars payée lors du piratage de Colonial Pipeline< /strong>Les ransomwares constituent désormais un risque pour la sécurité nationale. Ce groupe pense qu'il sait comment le vaincre
Sujets connexes :
Sécurité Gestion des données TV Centres de données CXO 