El FBI y CISA revelaron en un nuevo aviso de seguridad conjunto que la pandilla de ransomware de Cuba recaudó más de $60 millones en rescates hasta agosto de 2022 después de violar a más de 100 víctimas en todo el mundo.
Este es un seguimiento de otro aviso emitido hace un año, que advertía que el grupo de delitos cibernéticos comprometió a docenas de organizaciones de los sectores de infraestructura crítica de EE. UU., ganando más de $ 40 millones desde que comenzó a apuntar a empresas estadounidenses.
“Desde el lanzamiento del FBI Flash de diciembre de 2021, la cantidad de entidades estadounidenses comprometidas por el ransomware de Cuba se ha duplicado, con rescates exigidos y pagados en aumento”, advirtieron hoy las dos agencias federales.
"El FBI ha observado que los actores de ransomware de Cuba continúan apuntando a entidades estadounidenses en los siguientes cinco sectores de infraestructura crítica: servicios financieros, instalaciones gubernamentales, atención médica y salud pública, fabricación crítica y tecnología de la información".
Según estimaciones del FBI, los actores de amenazas de ransomware de Cuba comprometieron a más de 100 entidades en todo el mundo hasta agosto, recaudando al menos $ 60 millones en pagos de rescate después de exigir más de $ 145 millones.
El FBI y CISA agregaron que la banda de ransomware ha ampliado sus tácticas, técnicas y procedimientos (TTP) desde principios de año y se ha relacionado con el troyano de acceso remoto (RAT) RomCom y el ransomware Industrial Spy (como informó BleepingComputer por primera vez en mayo ). ).
Si bien el aviso pinta un panorama sombrío, las muestras enviadas a la plataforma ID-Ransomware para su análisis muestran que la pandilla no es muy activa, lo que demuestra que incluso una operación de ransomware algo inactiva puede tener un gran impacto en sus víctimas.
Entrega del descargador de malware
Las cargas útiles del ransomware Cuba se entregan a través de Hancitor , lo que permite a los operadores obtener un acceso más fácil a las redes empresariales previamente comprometidas.
El descargador de malware Hancitor (Chancitor) es conocido por colocar ladrones de información, troyanos de acceso remoto (RAT) y otros tipos de ransomware en sistemas infectados.
El malware se envía a los sistemas de las víctimas a través de correos electrónicos de phishing, credenciales robadas, vulnerabilidades de Microsoft Exchange o herramientas de Protocolo de escritorio remoto (RDP).
Después de afianzarse en los dispositivos infectados dentro de las redes de sus objetivos, los actores de amenazas de ransomware de Cuba usan servicios legítimos de Windows (por ejemplo, PowerShell, PsExec y varios otros servicios no especificados) para implementar cargas útiles de forma remota y cifrar archivos usando la extensión ".cuba".
En el aviso de hoy, el FBI pidió a quienes detectan actividad de ransomware Cuba dentro de sus redes que compartan información relacionada con su FBI Cyber Squad local.
La información útil que podría ayudar a identificar a los miembros de la pandilla de ransomware y a los ciberdelincuentes con los que trabajan incluye "registros de límites que muestran la comunicación hacia y desde direcciones IP extranjeras, una nota de rescate de muestra, comunicaciones con los actores de ransomware, información de la billetera Bitcoin, archivos de descifrado y/o una muestra benigna de un archivo cifrado".
El FBI agregó que, si bien no fomenta los pagos de ransomware porque no hay garantía de que el pago evite filtraciones de datos o futuros ataques, las víctimas deben informar los ataques lo antes posible a sus oficinas de campo locales del FBI .
Se recomienda a las organizaciones que corren el riesgo de ser blanco de esta operación de ransomware que prioricen la aplicación de parches a las vulnerabilidades explotadas conocidas, capaciten a sus empleados y usuarios para detectar e informar ataques de phishing y aplicar la autenticación multifactor (MFA) en todo su entorno.
Fuente: BC.