Expertos en ciberseguridad reportan la detección de Prometheus, una nueva variante de ransomware que parece estar relacionada con un grupo cibercriminal con amplia experiencia. Este malware de cifrado fue detectado por primera vez a inicios de 2021 y, además de usar las tácticas de ataque convencionales, sus operadores se caracterizan por emplear el método conocido como “doble extorsión”, robando información para después cifrar los archivos comprometidos.
El más reciente análisis sobre Prometheus, realizado por Palo Alto Networks, señala que este grupo se hace pasar por una compañía de servicios profesionales y establece comunicación con las potenciales víctimas a través de un sistema de tickets. Estos hackers ya han atacado a al menos 30 organizaciones en Norteamérica, Europa y Asia en sectores como los servicios financieros, logística, servicios de salud, aseguradoras y agencias gubernamentales.
Otro rasgo característico de estos hackers es que en todo momento tratan de ocultar su verdadera identidad, haciéndose pasar por un grupo afiliado a los operadores del ransomware REvil cuando la nota de rescate aparece en los sistemas de las víctimas. No obstante, los operadores de Prometheus no parecen guardar relación alguna con REvil, por lo que los investigadores creen que se trata solo de una táctica de evasión y extorsión.
Por otra parte, el equipo de Palo Alto Networks cree que este malware sí tiene relación con el ransomware Thanos, detectado por primera vez en abril de 2020: “El modo de operación y características de ambas variantes es idéntico, lo cual sugiere que Thanos y Prometheus son dirigidos por el mismo grupo criminal.”
Si bien los investigadores no han podido identificar el método exacto que Prometheus ingresa al sistema objetivo, se sabe que Thanos se distribuye comprando en dark web accesos a redes que anteriormente se han visto comprometidas con infecciones de malware, ataques de fuerza bruta y otras campañas maliciosas.
Sea cual sea el método empleado para ingresar a las redes comprometidas, después de robar información y completar el cifrado aparecerá una nota de rescate en la que los hackers exigirán entre 6 mil y 100 mil dólares; la cifra se duplicará si las víctimas se niegan a negociar o si el pago demora más de una semana. Hasta el momento solo 4 organizaciones parecen haber pagado el rescate a los operadores de Prometheus, incluyendo dos agencias privadas en Perú y Brasil y dos firmas de logística en Austria y Singapur.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad