En los últimos días han aparecido varios grupos nuevos de ransomware como Prometheus, Grief y Epsilon Red. Prometheus además ha copiado el logo a otra empresa que tiene el mismo nombre.
Prometheus, es un nuevo grupo de ransomware que apareció a finales de Marzo de este 2021, supuestamente relacionados a REvil (aka Sodinokibi) y que han estado atacando activamente a organizaciones en la región. En su logotipo actualizado, el grupo ilustró vínculos con otro notorio grupo clandestino de ransomware: REvil
Esta amenaza puede propagarse a través de accesos RDP inseguros, correo phishing y archivos adjuntos maliciosos, Botnets, Exploit Kits, vulnerabilidades en VPN, anuncios maliciosos, inyecciones web, actualizaciones falsas e instaladores infectados entre otros.
Recientemente, el grupo ha publicado un dato robado presuntamente perteneciente al gobierno mexicano que aún permanece disponible para la venta en la actualidad, y posiblemente se convierta en el primer grupo ciberdelincuente que ha tocado un estado importante en América Latina a tal nivel.
Según Resecurity, una empresa de ciberseguridad de Los Ángeles, se presume que los datos filtrados fueron robados de múltiples cuentas de correo electrónico como resultado de ATO / BEC y el compromiso de los recursos de la red pertenecientes a varias agencias gubernamentales mexicanas. Es difícil determinar la sensibilidad y el impacto final en el resultado de tales filtraciones, pero es uno de los elementos de un juego de extorsión utilizado por los malos actores.
A fecha de hoy, Prometheus ha publicado datos de 27 víctimas y parece solo el comienzo de su «carrera». Las víctimas también incluyen Ghana National Gas, Tulsa Cardiovascular Center of Excellence (Oklahoma, EE. UU.), Hotel Nyack (Nueva York, EE. UU.) Y empresas en Francia, Noruega, Suiza, Países Bajos, Brasil, Malasia y Emiratos Árabes Unidos.
Si bien los actores de REVil no han confirmado ninguna relación directa con el nuevo grupo y ese vínculo sigue sin estar claro. Es posible que el grupo pueda usar el ransomware REVil y ser uno de sus afiliados trabajando de forma independiente. Curiosamente, cerca de la mitad de todas las víctimas afectadas por Prometheus ha pagado o sus datos se han vendido a otras partes interesadas en él.
Algunos investigadores han señalado que se trata de un grupo independiente desarrollado en Visual Basic .NET y que a nivel de código no tienen relación alguna con REvil.
Afectado en Latinomérica
El siguiente listado corresponde a empresas en Latinoamérica que han sido víctima de Prometheus, junto al estado actual de la información robada por estos cibercriminales.
AQP Express Cargo 🇵🇪 | Información a la venta.
Gobierno Mexicano 🇲🇽 | Información a la venta.
Seguros Futuro 🇸🇻 | Información a la venta.
Paraty Capital 🇧🇷 | Información vendida a terceros.
Agricola Cerro Prieto 🇵🇪 | Empresa pago por la información.
Medicar 🇧🇷 | Empresa pago por la información.
Coca-Cola Embonor 🇨🇱 | Información vendida a terceros.
Sprink 🇧🇷 | Información vendida a terceros
Metalgráfica Cearense 🇧🇷 | Información vendida a terceros.
Hace algunos años se ponía de ejemplo para dimensionar el impacto de una vulnerabilidad o ataque: ¿Y si se roban la formula de Coca-Cola y se la venden a la competencia? pues bueno…. no estamos lejos.
Según Resecurity, en la etapa inicial de actividad, el grupo aprovechó Sonar, una herramienta de transferencia de datos segura implementada en la red Tor que proporciona API (http://sonarmsniko2lvfu[.]onion/?a=docs-api). Después, el grupo cambió a un sistema automatizado basado en tickets donde la víctima puede proporcionar la identificación y enviar el pago en criptomonedas BTC o XMR para un proceso de descifrado automático.
Una vulnerabilidad de inyección de SQL en el sitio de fuga de «Prometheus» en TOR permitió revelar la dirección de correo electrónico del operador. Más tarde, los actores de amenazas detectaron y corrigieron la vulnerabilidad.
Curiosamente, algunas de las muestras relacionadas con la actividad de Prometheus o Prom (nombre alternativo) son detectables como ransomware Thanos por los principales motores AV. Thanos ransomware (también conocido como Hakbit ransomware) ha sido desarrollado por Nosophoros, un actor clandestino que lo pone a la venta en varias comunidades de la Dark Web.
También ha anunciado el ransomware Jigsaw y ha colaborado con varios actores que venden acceso comprometido a RDP y VPN a varias redes, incluido drumrlu, como confirmaron Resecurity y KELA, quienes publicaron un informe completo sobre la actividad de los corredores de acceso inicial clandestinos en Dark Web.
El malware Prom fue descubierto originalmente por el analista de xiaopao de Qihoo 360 y pertenece a la familia de ransomware Hakbit.
Ransomware Epsilon Red.
La semana pasada, los analistas de Sophos descubrieron un nuevo ransomware escrito en el lenguaje de programación Go que se llama a sí mismo Epsilon Red. El malware se entregó como la carga útil ejecutable final en un ataque controlado manualmente contra una empresa con sede en EE. UU. En la industria hotelera en la que todos los demás componentes de la etapa inicial eran un script de PowerShell.
Según la dirección de la criptomoneda proporcionada por los atacantes, parece que al menos una de sus víctimas pagó un rescate de 4.29 BTC el 15 de mayo (valorado en aproximadamente $ 210,000 en esa fecha).Si bien el nombre y las herramientas eran exclusivos de este atacante, la nota de rescate dejada en las computadoras infectadas se asemeja a la nota dejada por el ransomware REvil, pero agrega algunas correcciones gramaticales menores. No hubo otras similitudes obvias entre el ransomware Epsilon Red y REvil.
Parece que un servidor Microsoft Exchange empresarial fue el punto inicial de entrada de los atacantes a la red empresarial. No está claro si esto fue habilitado por el exploit ProxyLogon u otra vulnerabilidad, pero parece probable que la causa principal fuera un servidor sin parches. Desde esa máquina, los atacantes utilizaron WMI para instalar otro software en las máquinas dentro de la red a las que podían acceder desde el servidor de Exchange.
El nombre Epsilon Red, como muchos acuñados por los actores de amenazas de ransomware, es una referencia a la cultura pop. El personaje Epsilon Red era un adversario relativamente oscuro de algunos de los X-Men en el universo extendido de Marvel, un «súper soldado» supuestamente de origen ruso, luciendo cuatro tentáculos mecánicos y una mala actitud.
Durante el ataque, los actores de amenazas lanzaron una serie de scripts de PowerShell, numerados del 1.ps1 al 12.ps1 (así como algunos que solo fueron nombrados con una sola letra del alfabeto), que prepararon las máquinas atacadas para la carga útil final del ransomware.
La orquestación de PowerShell fue, en sí misma, creada y activada por un script de PowerShell llamado RED.ps1 que se ejecutó en las máquinas de destino mediante WMI. El script recupera y descomprime en la carpeta system32 un archivo .7z que contiene el resto de los scripts de PowerShell, el ejecutable del ransomware y otro ejecutable.
Ransomware Grief.
Grief es un grupo de ransomware menos conocido, que afirma haber robado datos de 5 organizaciones, incluida una empresa en México. Curiosamente, el sitio WEB de Grief en la red TOR tiene una protección «anti-rastreo» que evita que los investigadores de ciberseguridad indexen automáticamente su contenido mediante varias plataformas de inteligencia de amenazas cibernéticas y sus bots.
En su página de destino, hay una referencia pegadiza a las regulaciones del RGPD: «El RGPD en el artículo 33 requiere que, en caso de una violación de datos personales, los controladores de datos deben notificar a la autoridad supervisora correspondiente sin demoras indebidas y, cuando sea posible, no más tarde. de 72 horas después de haber tenido conocimiento de ello».
Es obvio que los actores están tratando de motivar a las víctimas para que paguen más temprano que tarde para evitar posibles problemas con los reguladores europeos, que es una de las tácticas de extorsión. El RGPD permite a las autoridades de protección de datos de la UE imponer multas de hasta 20 millones de euros (24,1 millones de dólares) o el 4% de la facturación global anual (lo que sea mayor), lo que definitivamente será un precio más alto en comparación con un posible pago de rescate a un actor clandestino.
Las víctimas más recientes agregadas hace solo un par de días incluyen las redes del condado de Mobile, Alabama (EE.UU.) y la Comune di Porto Sant’Elpidio (Italia).
En 2020, estima que se pagaron $ 350 millones en rescate a los atacantes, un aumento de más del 300 por ciento con respecto al año anterior, con un pago promedio de más de $ 300,000.
Según estadísticas de expertos, el mayor número de víctimas en 2020 por industria fue en manufactura, servicios profesionales y legales y construcción. Las empresas de fabricación, educación y atención médica experimentaron específicamente aumentos significativos, especialmente durante la pandemia de COVID-19, cuando las empresas cambiaron casi por completo al modo de trabajo remoto, dejando muchas brechas de seguridad utilizadas por los actores de amenazas.
El Grupo de Trabajo sobre Ransomware, coordinado por el Instituto de Seguridad y Tecnología, pide ver el ransomware como mucho más que un simple delito financiero y hacer de su lucha una prioridad mundial.