Un nuevo grupo de ransomware afirma haber violado 30 organizaciones en el gobierno, los servicios financieros, los servicios de atención médica y las empresas de energía en los Estados Unidos, el Reino Unido y una docena de países más, según una investigación de Palo Alto Networks publicada el miércoles.

El grupo que los investigadores de Palo Alto los han denominado "Prometheus", y se dirige con mayor frecuencia a la industria manufacturera. La actividad se produce en medio de la preocupación constante por el efecto del ransomware en la seguridad nacional y las cadenas de suministro globales después de los incidentes en Colonial Pipeline y la empresa procesadora de carne JBS.

"La banda de ransomware Prometheus tiene el potencial de atacar a organizaciones que generarían preocupaciones nacionales", escribió Doel Santos, analista de inteligencia de amenazas en la Unidad 42 de Palo Alto Networks en un correo electrónico. “Estos actores de amenazas son oportunistas. Están dispuestos a apuntar a cualquier organización ".

El grupo también se ha dirigido a víctimas en las industrias de fabricación, logística, consultoría, agricultura, seguros y legales.

Prometheus afirma estar afiliado a REvil, un grupo de piratería con sede en Rusia al que el FBI culpó de un ataque al proveedor mundial de carne JBS. Los investigadores no encontraron evidencia que vincule a los dos grupos ni pudo confirmar a ninguna de las víctimas del grupo.

Santos describió al grupo Prometheus como "despiadado". El sitio del grupo alberga bases de datos, correos electrónicos, facturas y documentos filtrados que incluyen información de identificación personal que supuestamente pertenece a las víctimas que no pagaron una tarifa de extorsión dentro de un período de tiempo prescrito.

El grupo parece estar usando malware similar al que usa el grupo de ransomware Thanos. La aparición del grupo destaca el rápido crecimiento de las bandas de ransomware gracias al aumento del ransomware como servicio en el que otros grupos alquilan su código e infraestructura para su uso.

Las empresas modernas de ransomware suelen funcionar como parte de un mercado de afiliados más grande. Un grupo puede especializarse en el desarrollo de software malicioso, por ejemplo, y luego ceder el acceso a esa herramienta a una organización asociada a cambio de una parte de las ganancias de cualquier violación de datos. Se sabe que las cepas de ransomware Egregor, Thanos y Conti operan de esta manera, entre otras, según especialistas de las firmas de inteligencia de amenazas Intel 471 y Trend Micro.

El creciente número de grupos ha dificultado que las fuerzas del orden se mantengan al tanto del problema. El director del FBI, Christopher Wray, le dijo recientemente al Wall Street Journal que la agencia ha investigado 100 tipos diferentes de ransomware.

En abril, el proveedor de seguridad Cybereason detalló una botnet llamada "Prometei", que los piratas informáticos parecen aprovechar para la criptominería y otras estafas financieras. "Prometei" es la traducción rusa de Prometheus, aunque no está claro si existe una conexión entre las dos herramientas de piratería.