Durante los últimos días se ha observado un incremento de ataques en la región a causa del ransomware Prometheus. Los atacantes utilizan la táctica de doble extorsión para filtrar la información de sus víctimas y publicar los datos robados para su compra en la Dark Web.
El grupo de ransomware afirma haber atentado contra 30 organizaciones del gobierno, servicios financieros, manufactura, logística, consultoría, agricultura, servicios de salud, agencias de seguros, firmas de energía y abogados. Entre los países afectados figuran Estados Unidos, Brasil, Noruega, Chile, Francia, Perú y otros 14 más.
Sobre el ransomware Prometheus
Apareció por primera vez en febrero de 2021 y es conocido por ser la variante de la cepa Thanos, el cual se ha anunciado a la venta en distintos foros clandestinos al menos desde la primera mitad de 2020. El sistema constructor permite a los usuarios personalizar una muestra con una amplia variedad de configuraciones disponibles, pudiendo dar como resultado la creación de sus propias variantes y marcas.
El ransomware Prometheus se hace pasar como una empresa profesional. Se refieren a sus víctimas como “clientes” para emitir boletos de servicios que advierten la aproximación de fechas límite de pago e incluso, cuenta con un cronómetro para hacerlo más realistas.
Además, este malware puede escalar rápidamente nuevas operaciones adoptando el servicio (RaaS), para obtener el código de ransomware, infraestructura y acceso a redes comprometidas de proveedores externos. Este modelo ha reducido drásticamente la barrera de acceso para los atacantes de ransomware.
SOC Widefense – Medidas de refuerzo
Hemos reforzado nuestro monitoreo y servicio de ciberseguridad, además de ofrecer información actualizada a todos nuestros clientes. Entre las medidas tomadas, destacan:
- Investigar constantemente nuevos indicadores relacionados con esta amenaza para su prevención.
- Reforzar la detección de eventos que estén relacionados a la propagación de una amenaza y/o incremento de detecciones.
- Mantener reglas personalizadas con relación a lo acontecido con el objetivo de detectar posible actividad relacionada a ransomware.
- Reforzar el monitoreo de actividades sospechosas sobre las conexiones a los puertos TCP/UDP 135 y 445.
Recomendaciones para evitar ser víctima del ransomware Prometheus
En consecuencia de los constantes ataques producidos por el ransomware Prometheus a diversas industrias, realizamos las recomendaciones pertinentes para evitar su ingreso a tu organización:
Mejores prácticas de red
- Parchar los sistemas operativos, el software y el firmware tan pronto los fabricantes realicen actualizaciones.
- Verificar la correcta configuración de cada versión del sistema operativo de los usuarios locales para evitar problemas que estos no puedan solucionar.
- Evitar reutilizar las contraseñas de diferentes cuentas y cambiar regularmente las contraseñas de los sistemas de red y cuentas.
- Utilizar la autenticación multifactor siempre que sea posible.
- Desactivar los puertos de acceso remoto RDP no utilizados y supervisar los registros de los activos.
- Auditar las cuentas de usuarios con privilegios administrativos y configurar los controles de acceso teniendo presente los privilegios mínimos.
- Mantener abierto solo los puertos que son necesarios y auditar sobre ellos.
- Identificar activos críticos como servidores de base de datos; crear y almacenar las copias de seguridad fuera de línea desde la red.
- Configurar las soluciones de antivirus y antimalware para que se actualicen automáticamente y realizar exploraciones periódicas.
- Implementar la segmentación de la red.
- Establecer autenticación, informes y conformidad de mensajes basados en dominio (DMARC), correo identificado por clave de dominio (DKIM) y marco de políticas de remitente (SPF).
Mejores prácticas para concientizar al usuario
- Informar a los usuarios sobre las amenazas y cómo ingresan a los dispositivos. Además, brindar la capacitación sobre los principios y técnicas de seguridad de la información.
- Establecer una estrategia de mitigación adecuada para que los usuarios sepan a quién contactar al observar una actividad sospechosa o crean que son víctimas de un ciberataque.
Prácticas recomendadas para mitigar el ransomware
- Realizar copias de seguridad periódicas y protegerlas con contraseñas seguras.
- Implementar un plan de recuperación para mantener y retener múltiples copias de servidores y datos privados o confidenciales en una ubicación segura y físicamente separada.
Widefense además recomienda:
El ransomware Prometheus se encuentra en búsqueda de nuevas organizaciones que cuenten con un escaso sistema de seguridad. Por ello, recomendamos herramientas de protección como Blackberry UEM; proporciona seguridad y protección con una administración completa de terminales, dispositivos y aplicaciones para tus colaboradores.