El FBI ha publicado un nuevo aviso sobre el ransomware de Cuba, explicando que el grupo ha atacado a "49 entidades en cinco sectores de infraestructura crítica" y ha realizado al menos $ 43,9 millones en pagos de rescate.
En un aviso enviado el viernes, el FBI dijo que el grupo apunta a empresas de los sectores financiero, gubernamental, sanitario, de fabricación y de tecnología de la información mientras utiliza el malware Hancitor para acceder a los sistemas Windows.
"El ransomware Cuba se distribuye a través del malware Hancitor, un cargador conocido por dejar caer o ejecutar a ladrones, como troyanos de acceso remoto (RAT) y otros tipos de ransomware, en las redes de las víctimas", explica el aviso, señalando que los archivos cifrados tienen el " extensión .cuba ".
"Los actores de malware Hancitor utilizan correos electrónicos de phishing, vulnerabilidades de Microsoft Exchange, credenciales comprometidas o herramientas legítimas de Protocolo de escritorio remoto (RDP) para obtener acceso inicial a la red de la víctima. Posteriormente, los actores de ransomware de Cuba usan servicios legítimos de Windows, como PowerShell, PsExec, y otros servicios no especificados, y luego aprovechar los privilegios de administrador de Windows para ejecutar su ransomware y otros procesos de forma remota ".
Los asombrosos pagos de rescate fueron eclipsadas por la cantidad de dinero que el grupo ha exigido a las víctimas, que el FBI fijó en 74 millones de dólares.
Una vez que la víctima se ve comprometida, el ransomware instala y ejecuta una baliza CobaltStrike mientras se descargan dos archivos ejecutables. Los dos archivos permiten a los atacantes adquirir contraseñas y "escribir en el archivo temporal (TMP) del sistema comprometido".
"Una vez que se carga el archivo TMP, el archivo 'krots.exe' se elimina y el archivo TMP se ejecuta en la red comprometida. El archivo TMP incluye llamadas a la Interfaz de programación de aplicaciones (API) relacionadas con la inyección de memoria que, una vez ejecutadas, elimina Al eliminar el archivo TMP, la red comprometida comienza a comunicarse con un repositorio de malware reportado ubicado en el Localizador Uniforme de Recursos (URL) teoresp.com, con sede en Montenegro ", explicó el FBI.
Además, los actores del ransomware de Cuba usan el malware MimiKatz para robar credenciales y luego usan RDP para iniciar sesión en el host de red comprometido con una cuenta de usuario específica. Una vez que se completa una conexión RDP, los actores del ransomware de Cuba usan el servidor CobaltStrike para comunicarse con el usuario comprometido Una de las funciones iniciales de secuencia de comandos de PowerShell asigna espacio de memoria para ejecutar una carga útil codificada en base64. Una vez que esta carga útil se carga en la memoria, se puede usar para llegar al servidor de comando y control remoto (C2) y luego implementar el siguiente etapa de archivos para el ransomware. El servidor C2 remoto se encuentra en la URL maliciosa kurvalarva.com ".
El FBI incluyó otra información del ataque, así como una nota de rescate de muestra y un correo electrónico que los atacantes suelen incluir.
Los expertos en ransomware se sorprendieron un poco por la cantidad de dinero del grupo, considerando su nivel de actividad en relación con otros grupos de ransomware más prominentes.
El analista de amenazas de Emsisoft, Brett Callow, dijo que el informe ilustra lo lucrativo que es la industria del ransomware, considerando que el grupo de ransomware de Cuba no está en su lista de los diez primeros en términos de actividad.
Sus datos muestran 105 envíos de ransomware de Cuba este año en comparación con 653 para el grupo de ransomware Conti.
"Esto realmente resalta la cantidad de dinero que se puede ganar con el ransomware. Cuba es un jugador relativamente pequeño, y si ganaron 49 millones de dólares, otros equipos habrán ganado considerablemente más", dijo Callow a ZDNet. "Y esta, por supuesto, es la razón por la que el ransomware es un problema tan difícil de tratar. Las recompensas masivas significan que la gente considera que los riesgos valen la pena".
Desde enero , el grupo ha operado un sitio de filtraciones, convirtiéndose en uno de los muchos grupos de ransomware que amenazan con liberar datos robados si las víctimas no pagan.
En abril, el Equipo de Investigación de Amenazas Avanzadas de McAfee publicó un informe detallado sobre el grupo, señalando muchas de las mismas cosas que el FBI encontró en su análisis. Los investigadores de McAfee también encontraron que, si bien el grupo había existido durante años, solo recientemente comenzó a extorsionar a las víctimas con su sitio de filtración.
El grupo normalmente se dirige a empresas de EE. UU., América del Sur y Europa. McAfee dijo que el grupo ha vendido datos robados en algunos casos.
"Cuba ransomware es un ransomware más antiguo que ha estado activo durante los últimos años. El informe de McAfee explicó que los actores detrás de él recientemente cambiaron a filtrar los datos robados para aumentar su impacto e ingresos, al igual que hemos visto recientemente con otros ransomware importantes campañas ", explica el informe de McAfee.
"En nuestro análisis, observamos que los atacantes tenían acceso a la red antes de la infección y pudieron recopilar información específica para orquestar el ataque y tener el mayor impacto. Los atacantes operan utilizando un conjunto de scripts de PowerShell que les permite moverse lateralmente. La nota de rescate menciona que los datos fueron exfiltrados antes de ser encriptados ".
En febrero, el grupo causó sensación cuando atacaron los servicios de transferencia automática de fondos del procesador de pagos, lo que obligó a varios estados de EE. UU. A enviar cartas de notificación de incumplimiento. Reportado por primera vez por Bleeping Computer , el ataque involucró el robo de "documentos financieros, correspondencia con empleados bancarios, movimientos de cuentas, balances y documentos fiscales". El incidente también provocó daños importantes en los servicios de la empresa durante semanas.
Varios estados estaban preocupados porque usaban a la compañía para una variedad de servicios que les daban acceso a los nombres de las personas, direcciones, números de teléfono, números de matrículas, números de VIN, información de tarjetas de crédito, cheques en papel y otros detalles de facturación, según Bleeping Computer. El estado de California y varias ciudades en Washington estado se vieron afectados y envió cartas de notificación de infracciones.
Allan Liska, un experto en ransomware de Recorded Future, dijo que el informe del FBI también mostró el problema de observabilidad con el panorama del ransomware.
"Hubo 28 víctimas publicadas en el sitio de extorsión de Cuba, pero el FBI sabía de al menos 49 víctimas. Solo conocíamos alrededor de la mitad de sus víctimas", dijo Liska.
"A pesar de la pequeña cantidad de víctimas, el FBI afirma que obtuvieron al menos $ 43,9 millones muestra que el ransomware sigue siendo extremadamente rentable para estos actores de amenazas. Sus objetivos tendían a ser organizaciones de tamaño mediano y estaban esparcidos por todo el mundo. Creo que muestra hay muchas cosas que no sabemos ".
Fuente: https://www.zdnet.com/
No olvides Compartir...
Siguenos en twitter: @disoftin - @fredyavila - @PaolaMRincon
0 Comentarios