Ransomware emergente apunta a docenas de empresas en todo el mundo

Una cepa de ransomware emergente en el panorama de amenazas afirma haber violado 30 organizaciones en solo cuatro meses desde que entró en funcionamiento al montarse en los faldones de un notorio sindicato de ransomware.

Observado por primera vez en febrero de 2021, «Prometheus» es una rama de otra variante de ransomware conocida llamada Thanos, que se implementó previamente contra organizaciones estatales en el Medio Oriente y África del Norte el año pasado.

Se cree que las entidades afectadas son el gobierno, los servicios financieros, la fabricación, la logística, la consultoría, la agricultura, los servicios de atención médica, las agencias de seguros, los bufetes de abogados y de energía en los EE. UU., el Reino Unido y una docena más de países en Asia, Europa, Medio Oriente, y América del Sur, según una nueva investigación publicada por el equipo de inteligencia de amenazas de la Unidad 42 de Palo Alto Networks.

Al igual que otras pandillas de ransomware, Prometheus aprovecha las tácticas de doble extorsión y aloja un sitio de fugas en la web oscura, donde nombra y avergüenza a las nuevas víctimas y pone a la venta los datos robados, al tiempo que logra inyectar una apariencia de profesionalismo en sus actividades delictivas.

«Prometheus funciona como una empresa profesional», dijo Doel Santos, analista de inteligencia de amenazas de la Unidad 42. «Se refiere a sus víctimas como ‘clientes’, se comunica con ellos mediante un sistema de emisión de boletos de servicio al cliente que les advierte cuando se acerca la fecha límite de pago e incluso usa un reloj para contar las horas, minutos y segundos hasta la fecha límite de pago».

Sin embargo, solo cuatro de esas 30 organizaciones afectadas optaron por pagar rescates hasta la fecha, reveló el análisis de la firma de seguridad cibernética, incluida una empresa agrícola peruana, un proveedor de servicios de salud brasileño y dos organizaciones de transporte y logística en Austria y Singapur.

Vale la pena señalar que, a pesar de los fuertes vínculos de Prometheus con Thanos, la pandilla afirma ser un «grupo de REvil», uno de los cárteles de ransomware como servicio (RaaS) más prolíficos e infames de los últimos años, según especulan los investigadores. podría ser un intento de desviar la atención de Thanos o una estratagema deliberada para engañar a las víctimas para que paguen aprovechando una operación establecida.

Si bien la ruta de intrusión del ransomware aún no está clara, se espera que el grupo haya comprado acceso a las redes de destino o realizado ataques de phishing y de fuerza bruta para obtener el acceso inicial. Después de un compromiso exitoso, el modus operandi de Prometheus implica finalizar los procesos relacionados con el software de respaldo y seguridad en el sistema para bloquear los archivos detrás de las barreras de cifrado.

«Los operadores de ransomware Prometheus generan una carga útil única por víctima, que se utiliza para su sitio de negociación para recuperar archivos», dijo Santos, y agregó que la demanda de rescate oscila entre $ 6,000 y $ 100,000 según la organización de la víctima, un precio que se duplica. si la víctima no paga dentro del período de tiempo designado.

código de explotación

El desarrollo también se produce cuando los grupos de delitos cibernéticos apuntan cada vez más a los dispositivos SonicWall para violar las redes corporativas e implementar ransomware. Un informe publicado por CrowdStrike esta semana encontró evidencia de vulnerabilidades de acceso remoto (CVE-2019-7481) en los dispositivos VPN SonicWall SRA 4600 que se explotan como un vector de acceso inicial para ataques de ransomware dirigidos a organizaciones en todo el mundo.

Continua leyendo

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Newsletter Signup

Suscríbete a nuestra lista si te interesa recibir turcos exclusivos sobre hacking y seguridad informática