El grupo de ciberseguridad Cybereason descubre una campaña que utiliza el botnet Prometei para atacar a empresas de todo el mundo con una ofensiva múltiple que busca robar bitcoins y datos de las redes corporativas. Una botnet es una red de equipos informáticos infectados que se ejecutan de manera autónoma y automática, pudiendo el artífice de ésta controlar todos los ordenadores de forma remota.

El actor de la amenaza, de habla rusa, está aprovechando las vulnerabilidades de Microsoft Exchange para penetrar en redes aleatorias, provocando grandes pérdidas financieras y de datos para las empresas afectadas.

Prometei cuenta con una infraestructura diseñada para garantizar que se mantenga viva con las máquinas infectadas que forman parte de la red de bots. Aunque se informó por primera vez de Prometei en julio de 2020, Cybereason cree que se remonta al menos a 2016, un año antes de los ataques de malware WannaCry y NotPetya que afectaron a más de 200 países y causaron miles de millones en daños. Prometei sigue evolucionando regularmente con nuevas características y herramientas.

«La red de bots Prometei supone un gran riesgo para las empresas porque no se ha informado lo suficiente de la misma. Cuando los atacantes toman el control de las máquinas infectadas, no solo son capaces de robar bitcoins, sino también información sensible. Si lo desean, los atacantes también pueden infectar los dispositivos finales comprometidos con otro malware y colaborar con bandas de ransomware para vender el acceso a estos puntos finales. Además, para empeorar la situación, la criptominería consume la potencia de cálculo de la red, afectando a la continuidad del negocio y al rendimiento y estabilidad de los servidores críticos», avisa Assaf Dahan, director senior y jefe de investigación de amenazas de Cybereason.

La investigación de Cybereason muestra un amplio espectro de víctimas entre empresas de sectores muy diferentes: finanzas, seguros, comercio minorista, industria, utilities, viajes y construcción. Las empresas infectadas se encuentran en países de todo el mundo, como Estados Unidos, Reino Unido, Alemania, Francia, España, Italia y otros países europeos, Sudamérica y Asia oriental.

El actor de la amenaza parece ser de habla rusa y evita a propósito las infecciones en los países del antiguo bloque soviético.

El objetivo principal de Prometei es instalar la minería de criptomonedas Monero en los puntos finales de las empresas. Para propagarse por las redes, está utilizando vulnerabilidades conocidas de Microsoft Exchange, además de los exploits EternalBlue y BlueKeep.

Prometei tiene versiones basadas en Windows y en Linux-Unix, y ajusta su carga útil en función del sistema operativo detectado en las máquinas infectadas objetivo cuando se propaga a través de la red.

Cybereason considera que el operador de la red de bots Prometei tiene una motivación financiera y espera ganar fuertes sumas de bitcoins, pero no está respaldado por un Estado. El atacante persigue mantener el control de la infraestructura de la víctima de forma continuada. La red Prometei está diseñada para interactuar con cuatro servidores de comando y control diferentes, lo que refuerza la infraestructura de la botnet y mantiene comunicaciones continuas, haciéndola más resistente.