Ransomware Prometheus, responsable de ataques a diferentes organizaciones.,}
Durante los últimos meses se ha observado un incremento de ataques a causa del ransomware Prometheus. Los atacantes presionan con una doble extorsión, publican datos robados y de la victima para su compra en su sitio de filtraciones.
Afirman haber atacado a 30 organizaciones de la administración pública, los servicios financieros, la industria manufacturera, la logística, la consultoría, la agricultura, los servicios de salud, las agencias de seguros, la energía y los bufetes de abogados en Estados Unidos, el Reino Unido y una docena más de países de Asia, Europa, Oriente Medio y Sudamérica. Ademas de instituciones del gobierno mexicano.
Como funciona Prometheus
Como muchas grupos de ransomware, Prometheus funciona como una empresa profesional. Se refiere a sus víctimas como “clientes”, se comunica con ellos mediante un sistema de tickets de atención al cliente que les avisa cuando se acercan los plazos de pago e incluso utiliza un reloj para contar las horas, los minutos y los segundos que faltan para la fecha límite de pago.
“Vamos a cerrar el ticket y hemos iniciado una subasta con sus datos”, amenaza el grupo cuando las víctimas no pagan. Pero hay una salida: Las víctimas pueden hacer clic para abrir un nuevo “ticket” si están dispuestas a pagar para detener la subasta y recuperar sus datos.
Sólo cuatro víctimas han pagado hasta la fecha, según el sitio de filtraciones del grupo. Afirma que una empresa agrícola peruana, un proveedor de servicios sanitarios brasileño y organizaciones de transporte y logística de Austria y Singapur pagaron rescates. Sin embargo, no podemos confirmar las cantidades de los rescates.
Prometheus, es capas de escalar rápidamente nuevas operaciones al adoptar el modelo de ransomware como servicio (RaaS), en el que obtienen el código de ransomware, la infraestructura y el acceso a las redes comprometidas de proveedores externos. El modelo RaaS ha reducido la barrera de entrada para las bandas de ransomware.
Descripción del ransomware Prometheus
El ransomware Prometheus se vio por primera vez en febrero de 2021 y es una nueva variante de una cepa conocida llamada Thanos. El ransomware Thanos se ha anunciado a la venta en foros clandestinos desde al menos la primera mitad de 2020, donde tiene un constructor que permite a los actores personalizar una muestra con una amplia variedad de configuraciones disponibles. Esto sugiere que diferentes actores de amenazas pueden haber aprovechado este constructor para crear sus propias variantes y marcas.
Cuando el ransomware Prometheus se ejecuta, intenta eliminar varias copias de seguridad y procesos relacionados con el software de seguridad, como Raccine, una herramienta de prevención de ransomware que intenta impedir que el ransomware elimine las copias de seguridad en Windows.
El ransomware Prometheus agrega una extensión con el siguiente formato .[XXX-XXX-XXXX] (Figura 1). Hemos descubierto que las extensiones están codificadas en la muestra. Creemos que los creadores del ransomware Prometheus generan una carga útil única por víctima, que se utiliza para su sitio de negociación para recuperar los archivos. Ocultamos las extensiones porque podrían utilizarse para identificar a las víctimas en el sitio de filtración. Prometheus también agrega una cadena hexadecimal de GotAllDone al final de todos los archivos cifrados.
Creemos que los operadores del ransomware Prometheus generan un único payload por víctima. El ransomware añade una extensión de archivo que podría utilizarse para identificar a las víctimas en el sitio de filtración, por lo que las hemos ofuscado aquí.
Una vez finalizados los procesos de copia de seguridad y cifrado, el ransomware Prometheus despliega dos notas de rescate: un archivo RESTORE_FILES_INFO.TXT y un archivo RESTORE_FILES_INFO.TXT.hta (Figura 2), ambos con la misma información.
La nota de rescate también incluye instrucciones para ponerse en contacto con los creadores del ransomware Prometheus para recuperar los archivos, además de informar a la víctima de que, si no se cumplen las exigencias, los creadores de la amenaza liberarán los datos al público o los venderán a un tercero.
Dado que las extensiones se utilizan como identificador de la víctima, al seguir las instrucciones de la nota de rescate, pudimos echar un vistazo a la parte de negociación de su sitio web utilizando el ID de las extensiones para acceder. Curiosamente, este grupo utiliza un sistema de tickets para el seguimiento de las víctimas. Los tickets incluyen un ID de seguimiento, fecha de creación, estado de resolución y prioridad. Una víctima puede incluso abrir un ticket con los actores de la amenaza para solicitar la recuperación de los datos, aunque esto tendrá un costo adicional, según el sitio (Figura 3).
El grupo de ransomware Prometheus adapta su demanda de rescate dependiendo de la organización de la víctima. De los hasta ahora conocido, hemos visto pagos solicitados desde 6.000 dólares hasta 100.000 dólares. Este precio se duplica si las víctimas no se ponen en contacto con los creadores de la amenaza en el plazo establecido, que en promedio es de una semana. Se conoce que solo cuatro víctimas pagaron el rescate, entre ellas una empresa agrícola con sede en Perú, un proveedor de servicios de salud en Brasil y dos organizaciones de transporte y logística, en Austria y la otra en Singapur.
Al igual que muchos grupos de ransomware actuales, este grupo también creó un sitio de filtraciones (una sección diferente del mismo sitio web que contiene el “sistema de tickets”) donde nombran y exponen a sus víctimas (Figura 5).
Los creadores del ransomware Prometheus incluyen el status por víctima. Encontramos que parte de la información publicada en el sitio de la filtración ya ha sido vendida a un tercero desconocido. También hay publicaciones que muestran que las víctimas de los sectores afectados pagaron el rescate y sus datos fueron eliminados del sitio (Figura 6).
