El 1 de diciembre, la Oficina Federal de Investigaciones (FBI) y la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) publicaron un Asesoramiento conjunto en Ciberseguridad (CSA) con respecto al ransomware de Cuba que está dirigido a sectores de infraestructura crítica, incluida la atención médica. El aviso señala que el ransomware se conoce como “Cuba ransomware”, pero no hay indicios de que los actores del ransomware de Cuba tengan alguna afiliación con la República de Cuba.
El aviso explica que desde el lanzamiento de “Flash del FBI: Indicadores de compromiso asociados con Cuba RansomwareEn diciembre de 2021, el FBI ha visto a actores de ransomware de Cuba apuntando a cinco sectores de infraestructura crítica: servicios financieros, instalaciones gubernamentales, atención médica y salud pública, fabricación crítica y tecnología de la información. Desde agosto de este año, el FBI ha detectado que el ransomware Cuba ha comprometido a más de 100 entidades en todo el mundo y exigió más de $145 millones (USD) y recibió más de $60 millones (USD) en pagos de rescate.
Los actores del ransomware de Cuba utilizan técnicas que incluyen vulnerabilidades conocidas en software program comercial, campañas de phishing, credenciales comprometidas y herramientas legítimas de protocolo de escritorio remoto (RDP).
El aviso agrega que “Desde la primavera de 2022, los informes de terceros y de código abierto han identificado un vínculo aparente entre los actores del ransomware Cuba, los actores RAT de RomCom y los actores del ransomware Industrial Spy:
- Según la Unidad 42 de Palo Alto Networks, los actores del ransomware de Cuba comenzaron a usar el malware RomCom, una RAT personalizada, para comando y management.
- Los actores del ransomware Cuba también pueden estar aprovechando el ransomware Industrial Spy. Según informes de terceros, los presuntos actores de ransomware de Cuba pusieron en peligro a una empresa de atención médica extranjera. Los actores de amenazas implementaron el ransomware Industrial Spy, que comparte distintas similitudes en la configuración con el ransomware Cuba. Antes de implementar el ransomware, los actores se movieron lateralmente usando Impacket e implementaron RomCom RAT y Meterpreter Reverse Shell HTTP/HTTPS proxy a través de un servidor C2.
- Los actores del ransomware de Cuba inicialmente usaron su sitio de fuga para vender datos robados; sin embargo, alrededor de mayo de 2022, los actores comenzaron a vender sus datos en el mercado en línea de Industrial Spy para vender datos robados”.
Además, “los actores de RomCom se han dirigido a organizaciones militares extranjeras, empresas de TI, intermediarios y fabricantes de alimentos. Los actores copiaron código HTML legítimo de páginas net públicas, modificaron el código y luego lo incorporaron en dominios falsificados, lo que permitió a los actores de RomCom:
- Aloje aplicaciones troyanizadas falsificadas para:
- Monitor de rendimiento de purple de SolarWinds (NPM),
- administrador de contraseñas KeePass,
- PDF Reader Professional, (de PDF Applied sciences, Inc., no es un producto de Adobe Acrobat o Reader), y
- Software program de escáner IP avanzado
- Implemente RomCom RAT como etapa remaining”.
El FBI y CISA recomiendan una serie de mitigaciones para limitar el impacto potencial del ransomware Cuba, que incluyen:
- Implementar un plan de recuperación para mantener y retener múltiples copias de datos confidenciales o de propiedad y servidores en una ubicación física separada, segmentada y segura
- Requerir cuentas con inicios de sesión con contraseña para cumplir con los estándares del Instituto Nacional de Estándares y Tecnología (NIST) para contraseñas
- Requerir credenciales de administrador para descargar software program
- Requerir autenticación multifactor para todos los servicios, en la medida de lo posible
- Mantener todos los sistemas operativos, software program y firmware actualizados
- Segmentación de redes para evitar la propagación de ransomware
- Instalar y actualizar periódicamente la detección en tiempo actual del software program antivirus en todos los hosts
- Deshabilitar hipervínculos en correos electrónicos entrantes
- Mantenimiento de copias de seguridad de datos fuera de línea
