La firma de ciberseguridad CyCraft publicó una herramienta que puede ayudar a las víctimas del ransomware Prometheus a recuperar sus archivos sin tener que negociar con los hackers. La herramienta está disponible en GitHub y se basa en el uso de fuerza bruta para remover el cifrado de los archivos afectados.
Acorde al reporte, el ransomware Prometheus usa Salsa20 con una contraseña aleatoria basada en tickcount para el cifrado. La contraseña de cifrado se establece de forma aleatoria y cuenta con un tamaño de 32 bytes y todos los caracteres son visibles: “Debido a que los atacantes usan este método poco seguro, es posible remover el cifrado empleando fuerza bruta”, menciona una publicación en el blog de la compañía.
Un equipo de seguridad de Emsisoft probó la herramienta y confirmó que es funcional, auqnue el único problema con este método es que solo permite recuperar archivos pequeños. Aún así, la publicación de esta herramienta parece haber tenido un impacto positivo para los usuarios, generando problemas imprevistos para los operadores de Prometheus.
La herramienta fue lanzada a mediados de julio, coincidiendo con las fechas en que se confirmó por última vez un ataque de Prometheus o una filtración de información comprometida en los foros de dark web empleados por estos hackers. Un par de semanas después de la publicación de la herramienta, cualquier rastro de actividad relacionada con Prometheus había desaparecido, por lo que es altamente probable que estos hackers hayan terminado sus operaciones.
Este grupo de ransomware comenzó a operar a inicios de 2021 y llegó a publicar los datos robados de más de 40 organizaciones en su plataforma de dark web. Aunque algunos rumores, intencionalmente propagados por los hackers, afirmaban que esta era una variante derivada de REvil, análisis posteriores desmintieron tal versión. Expertos en ciberseguridad que realizaron un análisis detallado de algunas muestras de Prometheus confirmaron que este malware fue creado a partir del código del ransomware Thanos filtrado hace unos meses, mientras que REvil está escrito en C++; en otras palabras, ambas variantes son completamente diferentes.
Otros grupos de ransomware han empleado el código fuente de Thanos para iniciar sus propias operaciones de hacking, incluyendo a una operación de ransomware recientemente identificada como Haron, que básicamente está empleando una copia del código de Thanos.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de ciberseguridad, el se enfoca en protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad con diferentes empresas. También tiene experiencia en diferentes industrias como finanzas, salud medica y reconocimiento facial.