La Unit 42 di Palo Alto ha trascorso gli ultimi quattro mesi a seguire le gesta maligne di Prometheus, un nuovo ransomware che utilizza malware e tattiche simili all’ormai veterano Thanos. Ma più evolute e di conseguenza più dannose per qualunque dispositivo. 
Una delle armi terrificanti di Prometheus è doppia estorsione per riuscire a ottenere con successo il riscatto che, solitamente, si aggira tra i 6.000 e i 100.000 dollari da pagare, in criptovalute (Monero) naturalmente.
Ransomware Prometheus, in quattro costrette a pagare il (doppio) riscatto
Come se non bastasse, i cybercriminali che utilizzano Prometheus hanno l’abitudine di utilizzare un portale per pubblicare i dati rubati, venderli in base a un sistema di ticketing che permette di avvisare le loro vittime delle rispettive scadenze dei pagamenti.
LEGGI ANCHE >>> Telegram nei guai: accuse pesantissime dalle autorità tedesche
I cybercriminali rilevati dalla Unit 42 di Palo affermano di aver violato 30 organizzazioni governativi, servizi finanziari, produzione, logistica, consulenza, agricoltura, servizi sanitari, agenzie assicurative, studi energetici e legali negli Stati Uniti, nel Regno Unito, perfino in una dozzina di altri paesi in Asia, Europa, Medio Oriente e Sud America.
LEGGI ANCHE >>> Venere, la missione potrebbe racchiudere un inquietante segreto… per la Terra
Come molte bande di ransomware, Prometheus funziona come un’impresa professionale. Si riferisce alle sue vittime come “clienti”, comunica con loro utilizzando il sistema di ticketing, utilizzando perfino un orologio per contare le ore, i minuti e i secondi per una scadenza di pagamento.
“Stiamo chiudendo il ticket e abbiamo avviato un’asta sui tuoi dati“. E’ uno dei messaggi minatorio del gruppo alle vittime che non vogliono o non riescono a pagare il fatidico riscatto. Chiaramente la soluzione è una sola, che le vittime facciano clic per aprire un nuovo “ticket” e accettano di pagare per interrompere l’asta e recuperare i propri dati.
Quattro finora le vittime che hanno preferito pagare: un’azienda agricola peruviana, un fornitore di servizi sanitari brasiliano e organizzazioni di trasporto e logistica in Austria e Singapore, almeno secondo gli hacker, anche se la Unit 42 di Palo Alto non è ancora riuscita a scoprire gli importi del riscatto.
Una nota interessante è che Prometheus afferma di far parte della famigerata banda di ransomware REvil. L’Unità 42 di Palo Alto, però, non ha riscontrato alcuna indicazione che queste due gang di ransomware siano in qualche modo correlate. L’affermazione potrebbe essere un tentativo di sfruttare il nome di REvil per convincere le vittime a pagare, oppure potrebbe essere una falsa bandiera per distogliere l’attenzione da Thanos.
Prometheus è molto simile a Thanos, segue il modello ransomware-as-a-service (RaaS) per eliminare inizialmente i backup dei file, disattivare i processi di sicurezza e poi abilitare il processo di crittografia dei dati interessati rilasciando infine le famigerata due note di riscatto. Alert.
