Prometheus, es un nuevo grupo de ransomware que apareció a finales de Marzo de este 2021, supuestamente relacionados a REvil (aka Sodinokibi) y que han estado atacando activamente a organizaciones en la región.
Esta amenaza puede propagarse a través de accesos RDP inseguros, correo phishing y archivos adjuntos maliciosos, Botnets, Exploit Kits, vulnerabilidades en VPN, anuncios maliciosos, inyecciones web, actualizaciones falsas e instaladores infectados entre otros.
La nota de rescate es generada en los equipos comprometidos y se guarda con los nombres RESTORE_FILES_INFO.hta y RESTORE_FILES_INFO.txt.
Algunos investigadores han señalado que se trata de un grupo independiente desarrollando en Visual Basic .NET y que a nivel de código no tienen relación alguna con REvil.
El siguiente listado corresponde a empresas en Latinoamérica que han sido víctima de Prometheus, junto al estado actual de la información robada por estos cibercriminales.
- AQP Express Cargo 🇵🇪 | Información a la venta.
- Gobierno Mexicano 🇲🇽 | Información a la venta.
- Seguros Futuro 🇸🇻 | Información a la venta.
- Paraty Capital 🇧🇷 | Información vendida a terceros.
- Agricola Cerro Prieto 🇵🇪 | Empresa pago por la información.
- Medicar 🇧🇷 | Empresa pago por la información.
- Coca-Cola Embonor 🇨🇱 | Información vendida a terceros.
- Sprink 🇧🇷 | Información vendida a terceros.
- Metalgráfica Cearense 🇧🇷 | Información vendida a terceros.
Hace algunos años se ponía de ejemplo para dimensionar el impacto de una vulnerabilidad o ataque: ¿Y si se roban la formula de Coca-Cola y se la venden a la competencia? pues bueno…. no estamos lejos.
Actúa como un casillero de datos típico. Su propósito es alcanzar y codificar archivos personales.. Luego extorsiona una tarifa de rescate a las víctimas.. Se ha visto en campañas de ataque activas. Prometheus ransomware bloquea archivos con el algoritmo de cifrado AES que evita su uso normal. Los piratas informáticos que están detrás de los ataques de virus Prometheus poseen una herramienta de descifrado que posiblemente podría restaurar archivos bloqueados. Aún, Todas las víctimas deben saber que el pago de un rescate no garantiza una solución confiable para archivos corruptos.. Esta acción puede conducir a la pérdida de datos y dinero.
Prometheus ransomware es una amenaza que causa graves problemas de seguridad en el sistema. Su impacto podría eliminarse después de un proceso de eliminación completo de archivos maliciosos del sistema infectado..
Actualmente, Prometheus ransomware ataca a usuarios en línea en todo el mundo. Técnicas populares como malspam, instaladores de software gratuito, y los sitios web corruptos pueden utilizarse para la propagación de sus archivos de infección.
Malspam es una técnica que se cree que es la preferida por los piratas informáticos. Les ayuda a difundir la amenaza a través de campañas masivas de correo electrónico no deseado.. Los mensajes de correo electrónico que forman parte de dichas campañas suelen intentar engañar a las personas para que descarguen archivos maliciosos en sus PC sin sospechar que infectarán las máquinas con ransomware.. El ransomware puede presentarse como un documento importante (Archivo adjunto), un enlace / botón en el que se puede hacer clic, u otro elemento.
Una vez que esta amenaza se inicia en un sistema operativo de destino, Daña la configuración del sistema y configura sus archivos dañinos para que se carguen automáticamente en cada inicio del sistema.. Todos los procesos maliciosos, incluido el cifrado de datos, ocurren en segundo plano con todos los demás procesos en ejecución.. Por lo tanto, permanecen ocultos. Un problema que podría notarse durante el ataque es el rendimiento lento del sistema..
Para el cifrado de archivos personales, el virus Prometheus utiliza el algoritmo de cifrado fuerte – AES. Dado que este algoritmo es casi irrompible, la solución más eficaz para descifrar archivos bloqueados es una herramienta específica que poseen los piratas informáticos. Su herramienta de descifrado debe usarse con una clave específica que Prometheus genera durante el proceso de codificación..
Es por eso que intentan chantajear a las víctimas para que paguen una tarifa de rescate sólida a cambio de la clave y la herramienta de descifrado. Ya que deberían permanecer en el anonimato, a menudo requieren que se paguen rescates en Bitcoin u otra criptomoneda. La extorsión se realiza con la ayuda de dos mensajes de rescate. – RESTORE_FILES_INFO.txt y RESTORE_FILES_INFO.hta. Uno de los mensajes indica:
LA RED DE SU EMPRESA HA SIDO HACKEADA
Todos sus archivos importantes han sido cifrados!
Tus archivos están seguros! Solo modificado.(AES)
Ningún software disponible en internet puede ayudarte.
Somos los únicos capaces de descifrar sus archivos.
——————————————————————————–
También recopilamos datos altamente confidenciales / personales.
Estos datos se almacenan actualmente en un servidor privado..
Los archivos también se cifran y almacenan de forma segura.
——————————————————————————–
Como resultado de trabajar con nosotros, usted recibirá:
Descifrador completamente automático, todos sus datos se recuperarán unas horas después de su ejecución.
El servidor con sus datos será destruido inmediatamente después de su pago..
Ahorra tiempo y sigue trabajando.
Nos podras enviar 2-3 archivos no importantes y lo descifraremos
gratis para demostrar que podemos devolverle sus archivos.
——————————————————————————–
!!!!!!!!!!!!!!!!!!!!!!!!
Si decide no trabajar con nosotros:
Todos los datos en sus computadoras permanecerán encriptados para siempre.
SUS DATOS EN NUESTRO SERVIDOR Y DAREMOS SUS DATOS AL PÚBLICO O REVENDEDOR!
Por lo tanto, puede esperar que sus datos estén disponibles públicamente en el futuro cercano..
El precio aumentará con el tiempo..
!!!!!!!!!!!!!!!!!!!!!!!!!
——————————————————————————–
No nos importa lo que elijas pagarnos o venderemos tus datos.
Solo buscamos dinero y nuestro objetivo no es dañar su reputación o evitar que su negocio funcione..
Escríbanos ahora y le proporcionaremos los mejores precios..
Instrucciones para contactarnos:
_________________________________________________________________
Tienes dos maneras:
1) [Recomendado] El uso de un navegador TOR!
un. Descargar e instalar Tor Browser desde este sitio: https://torproject.org/
b. Abre el navegador Tor. Copia el enlace: http://promethw27cbrcot.onion/ticket.php?track = 141-5D9-Y *** y pégalo en el navegador Tor.
c. Inicie un chat y siga las instrucciones adicionales..
2) Si TOR bloqueado en tu país, tratar de usar VPN! Pero usted puede usar nuestro sitio web secundaria. Para esto:
un. Abra su cualquier navegador (Cromo, Firefox, Ópera, IE, Borde)
b. Abrir nuestro sitio web secundaria: http://prometheusdec.in/ticket.php?pista = 141-5D9-Y ***
c. Inicie un chat y siga las instrucciones adicionales..
Advertencia: página web secundario puede ser bloqueada, Es por eso que la primera variante mucho mejor y más disponibles.
_________________________________________________________________
Atención!
Cualquier intento de restaurar sus archivos con software de terceros lo dañará..
Modificar o cambiar el nombre de los archivos provocará una pérdida de datos.
Si decides intentarlo de todos modos, hacer copias antes de eso
Identificador clave:
WMl + 7qUDjFv06R + 4Mn7wwRJLGABA4jRM ***
Recomendamos que las víctimas de este criptovirus se abstengan de pagar el rescate a los piratas informáticos. Esta acción no garantiza la recuperación de archivos cifrados.. Existe la posibilidad de que el código de la amenaza esté lleno de errores, por lo tanto, el descifrador no funcionará.
