Babuk Loker ha pasado a llamarse a si mismo "Payload.bin". Y han aparecido varios grupos nuevos de ransomware como Prometheus, Grief y Epsilon Red. Prometheus además ha copiado el logo a otra empresa...

• Prometheus, Grief y Epsilon Red: tres nuevas bandas emergentes de ransomware dirigidas a empresas.

“Prometheus” y “Grief”: un mercado de ransomware de miles de millones de dólares obtuvo dos nuevos actores emergentes.

En el mundo actual, la información y los datos significan dinero y las personas que roban la información han alcanzado nuevos niveles de sofisticación. El número de casos notificados se ha disparado en los últimos años y sigue creciendo rápidamente.

Los datos del gobierno mexicano se publican para la venta

Prometheus es un nuevo grupo de ransomware emergente que extorsiona a empresas en varias verticales en todo el mundo. Recientemente, el grupo ha publicado un dato robado presuntamente perteneciente al gobierno mexicano que aún permanece disponible para la venta en la actualidad, y posiblemente se convierta en el primer grupo ciberdelincuente que ha tocado un estado importante en América Latina a tal nivel.

Según Resecurity, una empresa de ciberseguridad de Los Ángeles, se presume que los datos filtrados fueron robados de múltiples cuentas de correo electrónico como resultado de ATO / BEC y el compromiso de los recursos de la red pertenecientes a varias agencias gubernamentales mexicanas. Es difícil determinar la sensibilidad y el impacto final en el resultado de tales filtraciones, pero es uno de los elementos de un juego de extorsión utilizado por los malos actores. México es el principal socio comercial de Estados Unidos, la segunda economía más grande de América Latina y el 17º exportador más grande del mundo. El número de ciberataques en la región está creciendo significativamente. En 2020, México fue uno de los países con más ciberataques en América Latina.

A fecha de hoy, Prometheus ha publicado datos de 27 víctimas y parece solo el comienzo de su "carrera". Las víctimas también incluyen Ghana National Gas, Tulsa Cardiovascular Center of Excellence (Oklahoma, EE. UU.), Hotel Nyack (Nueva York, EE. UU.) Y empresas en Francia, Noruega, Suiza, Países Bajos, Brasil, Malasia y Emiratos Árabes Unidos.

En su logotipo actualizado, el grupo ilustró vínculos con otro notorio grupo clandestino de ransomware: REvil.

Ransomware en Latinoamérica: PROMETHEUS (Group of REvil)

Prometheus (variante de Thanos), es un nuevo grupo de ransomware que apareció a finales de Marzo de este 2021, supuestamente relacionados a REvil (aka Sodinokibi) y que han estado atacando activamente a organizaciones en la región.

De hecho, según el código, las dos cepas de ransomware no podrían haber sido más diferentes. REvil era una pieza avanzada de malware C ++, mientras que Prometheus se basaba en el código filtrado del ransomware Thanos, programado en C #. 

Esta amenaza puede propagarse a través de accesos RDP inseguros, correo phishing y archivos adjuntos maliciosos, Botnets, Exploit Kits, vulnerabilidades en VPN, anuncios maliciosos, inyecciones web, actualizaciones falsas e instaladores infectados entre otros.

La nota de rescate es generada en los equipos comprometidos y se guarda con los nombres RESTORE_FILES_INFO.hta y RESTORE_FILES_INFO.txt.

Si bien los actores de REVil no han confirmado ninguna relación directa con el nuevo grupo y ese vínculo sigue sin estar claro. Es posible que el grupo pueda usar el ransomware REVil y ser uno de sus afiliados trabajando de forma independiente. Curiosamente, cerca de la mitad de todas las víctimas afectadas por Prometheus - pago de rescate pagado o sus datos se han vendido a otras partes interesadas en él.

Algunos investigadores han señalado que se trata de un grupo independiente desarrollado en Visual Basic .NET y que a nivel de código no tienen relación alguna con REvil.

Países más afectados por Prometheus

• https://unit42.paloaltonetworks.com/prometheus-ransomware/

AFECTADOS EN LATAM

El siguiente listado corresponde a empresas en Latinoamérica que han sido víctima de Prometheus, junto al estado actual de la información robada por estos cibercriminales.

1. AQP Express Cargo 🇵🇪 | Información a la venta.
2. Gobierno Mexicano 🇲🇽 | Información a la venta.
3. Seguros Futuro 🇸🇻 | Información a la venta.
4. Paraty Capital 🇧🇷 | Información vendida a terceros.
5. Agricola Cerro Prieto 🇵🇪 | Empresa pago por la información.
6. Medicar 🇧🇷 | Empresa pago por la información.
7. Coca-Cola Embonor 🇨🇱 | Información vendida a terceros.
8. Sprink 🇧🇷 | Información vendida a terceros.
9. Metalgráfica Cearense 🇧🇷 | Información vendida a terceros.

Hace algunos años se ponía de ejemplo para dimensionar el impacto de una vulnerabilidad o ataque: ¿Y si se roban la formula de Coca-Cola y se la venden a la competencia? pues bueno…. no estamos lejos.

DETECCIONES

DrWeb -> Trojan.EncoderNET.31368
BitDefender -> Trojan.MSIL.Basic.6.Gen
ALYac -> Trojan.Ransom.Thanos
Avira (no cloud) -> TR / RansomX.cucnc
ESET-NOD32 -> A Variant Of MSIL / Filecoder.Thanos.A
Kaspersky -> HEUR: Trojan-Ransom.MSIL.Thanos.gen
Malwarebytes -> Ransom.Thanos
Microsoft -> Ransom: MSIL / Thanos.DC! MTB
Rising -> Ransom.Thanos! 8.11 C97 (CLOUD)
Symantec-> Ransom.HiddenTear! G1
TrendMicro -> Ransom.MSIL.THANOS.SM

Según Resecurity, en la etapa inicial de actividad, el grupo aprovechó Sonar, una herramienta de transferencia de datos segura implementada en la red Tor que proporciona API (http://sonarmsniko2lvfu.onion/?a=docs-api).

Después, el grupo cambió a un sistema automatizado basado en tickets donde la víctima puede proporcionar la identificación y enviar el pago en criptomonedas Monero (XMR) para un proceso de descifrado automático.

Una vulnerabilidad de inyección de SQL en el sitio de fuga de "Prometheus" en TOR permitió revelar la dirección de correo electrónico del operador. Más tarde, los actores de amenazas detectaron y corrigieron la vulnerabilidad.

prometheusdec@gmail.com

Curiosamente, algunas de las muestras relacionadas con la actividad de Prometheus o Prom (nombre alternativo) son detectables como ransomware Thanos por los principales motores AV. Thanos ransomware (también conocido como Hakbit ransomware) ha sido desarrollado por Nosophoros, un actor clandestino que lo pone a la venta en varias comunidades de la Dark Web. También ha anunciado el ransomware Jigsaw y ha colaborado con varios actores que venden acceso comprometido a RDP y VPN a varias redes, incluido drumrlu, como confirmaron Resecurity y KELA, quienes publicaron un informe completo sobre la actividad de los corredores de acceso inicial clandestinos en Dark Web.

El virus Prom fue descubierto originalmente por el analista de virus xiaopao de Qihoo 360 y pertenece a la familia de ransomware Hakbit. Fuente: https://howtofix.guide/prom-virus/

Cuando se ejecuta Prometheus ransomware, intenta eliminar varias copias de seguridad y procesos relacionados con el software de seguridad, como Raccine, una herramienta de prevención de ransomware que intenta evitar que el ransomware elimine instantáneas en Windows. 

• Disponible Herramienta descifrado gratuito para víctimas Prometheus

Disponible en GitHub, el descifrador funciona eficazmente mediante la fuerza bruta de la clave de cifrado utilizada para bloquear los datos de la víctima. 

Poco después de que Prometheus se quedara en silencio, un nuevo grupo llamado Haron, que también operaba sobre el código base de Thanos, inició ataques, lo que llevó a algunos expertos a creer que los operadores de Prometheus se rebautizaron como Haron. 

Un nuevo ransomware entra en juego: Epsilon Red

• Un ransomware básico descarga la mayor parte de su funcionalidad a un caché de scripts de PowerShell

La semana pasada, los analistas de Sophos descubrieron un nuevo ransomware escrito en el lenguaje de programación Go que se llama a sí mismo Epsilon Red. El malware se entregó como la carga útil ejecutable final en un ataque controlado manualmente contra una empresa con sede en EE. UU. En la industria hotelera en la que todos los demás componentes de la etapa inicial eran un script de PowerShell.

Según la dirección de la criptomoneda proporcionada por los atacantes, parece que al menos una de sus víctimas pagó un rescate de 4.29 BTC el 15 de mayo (valorado en aproximadamente $ 210,000 en esa fecha).

Si bien el nombre y las herramientas eran exclusivos de este atacante, la nota de rescate dejada en las computadoras infectadas se asemeja a la nota dejada por el ransomware REvil, pero agrega algunas correcciones gramaticales menores. No hubo otras similitudes obvias entre el ransomware Epsilon Red y REvil.

Parece que un servidor Microsoft Exchange empresarial fue el punto inicial de entrada de los atacantes a la red empresarial. No está claro si esto fue habilitado por el exploit ProxyLogon u otra vulnerabilidad, pero parece probable que la causa principal fuera un servidor sin parches. Desde esa máquina, los atacantes utilizaron WMI para instalar otro software en las máquinas dentro de la red a las que podían acceder desde el servidor de Exchange.

El nombre Epsilon Red, como muchos acuñados por los actores de amenazas de ransomware, es una referencia a la cultura pop. El personaje Epsilon Red era un adversario relativamente oscuro de algunos de los X-Men en el universo extendido de Marvel, un "súper soldado" supuestamente de origen ruso, luciendo cuatro tentáculos mecánicos y una mala actitud.

Personaje mundo Marvel: Epsilon Red

     Nombre real: Ivan (patronímico y apellido no revelado). 

     Familiares conocidos: Esposa (nombre no revelado, fallecido), Elena Ivanovna (hija).

     Afiliación grupal: ex agente de la KGB.

Durante el ataque, los actores de amenazas lanzaron una serie de scripts de PowerShell, numerados del 1.ps1 al 12.ps1 (así como algunos que solo fueron nombrados con una sola letra del alfabeto), que prepararon las máquinas atacadas para la carga útil final del ransomware

La orquestación de PowerShell fue, en sí misma, creada y activada por un script de PowerShell llamado RED.ps1 que se ejecutó en las máquinas de destino mediante WMI. El script recupera y descomprime en la carpeta system32 un archivo .7z que contiene el resto de los scripts de PowerShell, el ejecutable del ransomware y otro ejecutable.

Grief

Grief es un grupo de ransomware menos conocido, que afirma haber robado datos de 5 organizaciones, incluida 1 en México. Curiosamente, el sitio WEB de Grief en la red TOR tiene una protección “anti-rastreo” que evita que los investigadores de ciberseguridad indexen automáticamente su contenido mediante varias plataformas de inteligencia de amenazas cibernéticas y sus bots.

En su página de destino, hay una referencia pegadiza a las regulaciones del RGPD: "El RGPD en el artículo 33 requiere que, en caso de una violación de datos personales, los controladores de datos deben notificar a la autoridad supervisora ​​correspondiente sin demoras indebidas y, cuando sea posible, no más tarde. de 72 horas después de haber tenido conocimiento de ello ".

Es obvio que los actores están tratando de motivar a las víctimas para que paguen más temprano que tarde para evitar posibles problemas con los reguladores europeos, que es una de las tácticas de extorsión. El RGPD permite a las autoridades de protección de datos de la UE imponer multas de hasta 20 millones de euros (24,1 millones de dólares) o el 4% de la facturación global anual (lo que sea mayor), lo que definitivamente será un precio más alto en comparación con un posible pago de rescate a un actor clandestino.

Las víctimas más recientes agregadas hace solo un par de días incluyen las redes del condado de Mobile, Alabama (EE. UU.) Y Comune di Porto Sant’Elpidio (Italia).

En 2020, estima que se pagaron $ 350 millones en rescate a los atacantes, un aumento de más del 300 por ciento con respecto al año anterior, con un pago promedio de más de $ 300,000.

Según estadísticas de expertos, el mayor número de víctimas en 2020 por industria fue en manufactura, servicios profesionales y legales y construcción. Las empresas de fabricación, educación y atención médica experimentaron específicamente aumentos significativos, especialmente durante la pandemia de COVID-19, cuando las empresas cambiaron casi por completo al modo de trabajo remoto, dejando muchas brechas de seguridad utilizadas por los actores de amenazas.

El Grupo de Trabajo sobre Ransomware, coordinado por el Instituto de Seguridad y Tecnología, pide ver el ransomware como mucho más que un simple delito financiero y hacer de su lucha una prioridad mundial.

Fuentes:

https://securityaffairs.co/wordpress/118446/cyber-crime/prometheus-grief-ransomware.html
https://www.cronup.com/ransomware-en-latam-prometheus-group-of-revil/

https://news.sophos.com/en-us/2021/05/28/epsilonred/