Nuevo grupo de ransomware reclamando conexión a REvil …



&#39Prometheus&#39 es el último ejemplo de cómo el modelo de ransomware como servicio está permitiendo que nuevas pandillas escalen sus operaciones rápidamente.

Un nuevo grupo de ransomware que afirma haber afectado a unas 30 organizaciones desde principios de este año es el último ejemplo de la rapidez con la que las bandas criminales pueden escalar nuevas operaciones utilizando ofertas de ransomware como servicio.

El grupo, Prometheus, apareció por primera vez en febrero. Investigadores de Palo Alto Networks (PAN) que han estado rastreando a la pandilla esta semana lo describieron como el uso de tácticas de doble extorsión (cifrado de datos y robo de datos) para tratar de extraer dinero de las víctimas. El grupo alberga un sitio de filtración que ha estado utilizando para nombrar nuevas víctimas y publicar datos robados para su compra cuando una víctima se niega o no puede pagar el rescate exigido.

Según PAN, Prometheus afirma que ha violado al menos 30 organizaciones en múltiples sectores, incluidos el gobierno, la manufactura, los servicios financieros, la logística, los seguros y la atención médica. En promedio, el grupo ha exigido entre $ 6,000 y $ 100,000 en criptomonedas Monero como rescate, cantidades relativamente modestas según los estándares actuales de extorsión cibernética. El monto del rescate exigido se duplica si las víctimas no responden dentro del plazo de una semana establecido por la pandilla Prometheus.

Como suele ser el caso, la mayoría de las víctimas del grupo son organizaciones con sede en Estados Unidos. Otros países afectados incluyen Brasil, Noruega, Francia, Perú, México y el Reino Unido. Hasta ahora, cuatro víctimas han pagado un rescate para recuperar sus datos.

Doel Santos, analista de inteligencia de amenazas del grupo de inteligencia de amenazas de la Unidad 42 del PAN, dice que hay pocos indicios de que el grupo Prometheus esté persiguiendo a las víctimas de manera selectiva.

«Creemos que el grupo de ransomware Prometheus es oportunista», dice Santos. «Al observar a sus presuntas víctimas, no parecían seguir ninguna regla o evitar ciertas organizaciones». En cambio, están atacando a las organizaciones vulnerables a medida que las encuentran.

Prometheus se ha presentado a sí mismo como perteneciente a REvil (también conocido como Sodinokibi), un infame operador de ransomware como servicio que se cree es responsable del ataque que paralizó las operaciones del proveedor de carne estadounidense JBS. Sin embargo, hay poca evidencia que respalde esa afirmación, dice PAN.

En cambio, el grupo parece estar entre los muchos nuevos que han podido escalar rápidamente las operaciones mediante la adquisición de código de ransomware, infraestructura y acceso a redes comprometidas a través de proveedores externos. La propia cepa de ransomware Prometheus, por ejemplo, parece ser una nueva variante de Thanos, una herramienta de ransomware previamente conocida que ha estado disponible para la venta en los mercados de la Dark Internet durante meses, dice PAN. No está claro cómo el grupo distribuye el ransomware en las redes de las víctimas, pero es posible que estén comprando acceso a redes comprometidas en los mercados delictivos.

Como muchos operadores establecidos de ransomware, la banda detrás de Prometheus ha adoptado un enfoque muy profesional para tratar con sus víctimas, incluso referirse a ellos como «clientes», dijo PAN. Los miembros del grupo se comunican con las víctimas a través de un sistema de venta de boletos de servicio al cliente que incluye advertencias sobre fechas límite de pago cercanas y notificaciones de planes para vender datos robados a través de una subasta si no se cumple la fecha límite.

«Las nuevas bandas de ransomware como Prometheus siguen los mismos TTP que los grandes jugadores (como) Maze, Ryuk y NetWalker porque generalmente es efectivo cuando se aplica de la manera correcta con la víctima adecuada», dice Santos. «Sin embargo, nos parece interesante que este grupo venda los datos si no se paga ningún rescate y es muy explícito al respecto».

A partir de muestras proporcionadas por la banda de ransomware Prometheus en su sitio de filtración, el grupo parece estar vendiendo bases de datos, correos electrónicos, facturas y documentos robados que incluyen información de identificación particular.

«Hay mercados donde los actores de amenazas pueden vender datos filtrados para obtener ganancias, pero actualmente no tenemos ninguna plan de cuánto podría venderse esta información en un mercado», dice Santos.

Proliferación rápida
La rápida proliferación de grupos de ransomware administrados profesionalmente como Prometheus y la naturaleza cada vez más descarada de sus ataques han causado una preocupación generalizada. Dos ataques en unique, el ataque de ransomware de mayo en Colonial Pipeline, que resultó en el cierre de 5.500 millas de oleoducto en los Estados Unidos, y el ataque de principios de junio al proveedor de carne JBS United states, han provocado llamadas urgentes para algún tipo de respuesta nacional a la amenaza. De acuerdo a Reuters, el Departamento de Justicia de EE. UU. ha comenzado a dar a los ataques de ransomware la misma prioridad que les da a las acciones terroristas.

«Los gobiernos deben tomar esto muy en serio y trabajar para rastrear activamente y desarticular a las pandillas, y brindar orientación práctica al sector privado sobre cómo protegerse», dijo el experto en ciberseguridad del Reino Unido, Kevin Beaumont, quien es director del SOC de Arcadia Group. escribió recientemente. «¿Por qué? Porque los grupos incontrolados de delincuentes organizados graves, con la capacidad de infligir daño deliberado, son una amenaza para la seguridad internacional».

A los expertos en seguridad como Beaumont les preocupa que el dinero que los grupos de ransomware están obteniendo de sus ataques solo los esté preparando para lanzar ataques aún más grandes y potencialmente más destructivos en el futuro. Creen que, lejos de disminuir, el volumen de ataques de ransomware solo se disparará a corto plazo a medida que más delincuentes se unan a la refriega.

Sean Nikkei, analista senior de inteligencia sobre ciberamenazas en Electronic Shadows, dice que la cantidad de grupos de ransomware conocidos públicamente es solo la punta del iceberg.

«El panorama del ransomware es sizeable», dice Nikkei. «Si bien algunas campañas recientes han sido relativamente públicas, generalmente debido a las divulgaciones de datos involucradas, estos grupos representan solo una fracción de los posibles atacantes que existen».

Se requiere un esfuerzo coordinado para abordar el problema, agrega Rick Holland, vicepresidente senior de estrategia en Digital Shadows.

«Si bien tratar la amenaza del ransomware como si fuera un terrorismo es útil, es bueno recordar que la guerra global contra el terrorismo, también conocida como la &#39guerra eterna&#39, ha estado ocurriendo durante más de 30 años», dice.

Si bien sin duda se aplicarán más recursos para abordar las amenazas de ransomware, las personas también deben reconocerlo como una amenaza a largo plazo y análoga a las condiciones de salud crónicas.

«No se resuelven la hipertensión, la diabetes y las enfermedades cardíacas de la noche a la mañana», señala Holland. «Se necesita un enfoque holístico para minimizar estos riesgos».

Jai Vijayan es un reportero de tecnología experimentado con más de 20 años de experiencia en el periodismo comercial de TI. Más recientemente, fue editor senior en Computerworld, donde cubrió temas de seguridad de la información y privacidad de datos para la publicación. En el transcurso de sus 20 años … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia primary