"Prometheus" es una rama de otra conocida variante de ransomware llamada Thanos
Una cepa de ransomware emergente en el panorama de amenazas afirma haber hackeado 30 organizaciones en solo cuatro meses desde que entró en funcionamiento, aprovechando los faldones de un notorio sindicato de ransomware.
Observado por primera vez en febrero de 2021, "Prometheus" es una rama de otra conocida variante de ransomware llamada Thanos, que se implementó anteriormente el año pasado contra organizaciones estatales en el Medio Oriente y África del Norte.
Se cree que las entidades afectadas son el gobierno, los servicios financieros, la manufactura, la logística, la consultoría, la agricultura, los servicios de salud, las agencias de seguros, las firmas de energía y de abogados en los EE. UU., El Reino Unido y una docena de países más en Asia, Europa, Oriente Medio y América del Sur, según una nueva investigación publicada por el equipo de inteligencia de amenazas de la Unidad 42 de Palo Alto Networks.
Al igual que otras bandas de ransomware, Prometheus aprovecha las tácticas de doble extorsión y aloja un sitio de filtración web oscura, donde nombra y avergüenza a nuevas víctimas y pone los datos robados a disposición para su compra, al mismo tiempo logra inyectar una apariencia de profesionalismo a sus criminales ocupaciones.
"Prometheus funciona como una empresa profesional", dijo Doel Santos, analista de inteligencia de amenazas de la Unidad 42. "Se refiere a sus víctimas como 'clientes', se comunica con ellos mediante un sistema de emisión de tickets de servicio al cliente que les advierte cuando se acercan las fechas límite de pago e incluso usa un reloj para contar las horas, minutos y segundos hasta una fecha límite de pago".
Sin embargo, solo cuatro de esas 30 organizaciones afectadas optaron por pagar rescates hasta la fecha, reveló el análisis de la empresa de ciberseguridad, incluida una empresa agrícola peruana, un proveedor de servicios de salud brasileño y dos organizaciones de transporte y logística en Austria y Singapur.
Vale la pena señalar que a pesar de los fuertes vínculos de Prometheus con Thanos, la pandilla profesa ser un "grupo de REvil", uno de los cárteles de ransomware-as-a-service (RaaS) más prolíficos e infames en los últimos años, que los investigadores especulan que podría ser un intento de desviar la atención de Thanos o una estratagema deliberada para engañar a las víctimas para que paguen a cuestas en una operación establecida.
Si bien aún no está clara la ruta de intrusión del ransomware, se espera que el grupo haya comprado el acceso a las redes de destino o haya realizado ataques de phishing y de fuerza bruta para obtener el acceso inicial. Luego de un compromiso exitoso, el modus operandi de Prometheus implica terminar los procesos relacionados con el software de seguridad y respaldo en el sistema para bloquear los archivos detrás de las barreras de cifrado.
"Los operadores de ransomware Prometheus generan una carga útil única por víctima, que se utiliza en su sitio de negociación para recuperar archivos", dijo Santos, agregando que la demanda de rescate oscila entre $ 6.000 y $ 100.000 dependiendo de la organización de la víctima, un precio que se duplica si la víctima no paga dentro del período de tiempo designado.
El desarrollo también se produce cuando los grupos de delitos cibernéticos apuntan cada vez más a los dispositivos SonicWall para violar las redes corporativas e implementar ransomware. Un informe publicado por CrowdStrike esta semana encontró evidencia de vulnerabilidades de acceso remoto (CVE-2019-7481) en dispositivos VPN SonicWall SRA 4600 que se explotan como vector de acceso inicial para ataques de ransomware dirigidos a organizaciones de todo el mundo.
