Pandora, un ransomware de reciente surgimiento, ha levantado las alertas de los usuarios y organizaciones alrededor del mundo. Creado a mediados de febrero de este año, tiene como principal objetivo a las redes corporativas para obtener ganancias financieras.
Entre los incidentes más destacados alrededor de uso destacan los ataques a importantes compañías automotrices, que han llegado a suspender sus operaciones de fábrica. El grupo que que maneja este ransomware tiene un sitio de filtraciones en la Dark Web donde anuncia públicamente a sus víctimas y amenazan con la fuga de su información.
FortiGuard Labs, el laboratorio de inteligencia de amenazas de Fortinet, analizó la muestra de un malware de Pandora para desentrañar su flujo de ejecución y contribuir a los esfuerzos por prevenir su expansión.
El grupo de ransomware Pandora surgió en el ya abarrotado campo del ransomware a mediados de febrero de 2022 y apunta a las redes corporativas para obtener ganancias financieras. El grupo recibió publicidad reciente después de que anunciaron que adquirieron datos de un proveedor internacional en la industria automotriz. El incidente fue una sorpresa ya que el ataque se produjo dos semanas después de que otro proveedor automotriz fuera golpeado con un ransomware desconocido, lo que resultó en que uno de los fabricantes de automóviles más grandes del mundo suspendiera las operaciones de la fábrica. El grupo de amenaza utiliza el método de doble extorsión para aumentar la presión sobre la víctima. Esto significa que no solo cifran los archivos de la víctima, sino que también los exfiltran y amenazan con divulgar los datos si la víctima no paga.
El grupo Pandora tiene un sitio de filtraciones en la Dark Web (red TOR), donde anuncian públicamente a sus víctimas y las amenazan con la fuga de datos. Actualmente hay tres víctimas enumeradas en el sitio de la filtración (ver Figura 1), una agencia de bienes raíces con sede en los Estados Unidos, una compañía de tecnología japonesa y un bufete de abogados de los Estados Unidos.
El ransomware Pandora contiene todas las principales características que suelen contener las muestras de ransomware de última generación. El nivel de ofuscación para ralentizar el análisis es más avanzado que el del malware medio. Este grupo de ciber atacantes también prestó atención al desbloqueo de archivos para garantizar la máxima cobertura de encriptación, al tiempo que permite el funcionamiento del dispositivo.
Actualmente no hay pruebas de que Pandora opere como Ransomware-as-a-Service (RaaS), pero la inversión de tiempo en la complejidad del malware podría indicar que se están moviendo en esa dirección a largo plazo. Los ataques y filtraciones actuales podrían ser una forma de hacerse un nombre en el campo del ransomware, que podrían capitalizar si adoptan el modelo RaaS más adelante. Vale la pena rastrear al actor de amenazas para monitorear cómo cambia su malware, y así lo haremos. Debemos estar atentos y mejor preparados con tecnología avanzada de detección, prevención y respuesta ya que es de esperar que Pandora siga desarrollando sus capacidades.
