El FBI y la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) emitieron una advertencia conjunta contra los continuos ataques de la banda de ransomware Cuba. Las agencias federales dijeron que los actores de amenazas detrás del grupo habían comprometido a más de 100 organizaciones hasta agosto de 2022.
Según el aviso actualizado, la pandilla de ransomware de Cuba se ha abierto paso a través de la extorsión para obtener ingresos por más de $ 60 millones (frente a $ 43 millones en diciembre de 2021) de los $ 145 millones exigidos a las más de 100 organizaciones a las que se dirigió con éxito. Eso pone el rescate promedio obtenido de cada víctima en $ 600,000.
“Desde el lanzamiento del FBI Flash de diciembre de 2021, la cantidad de entidades estadounidenses comprometidas por el ransomware de Cuba se ha duplicado, con rescates exigidos y pagados en aumento”, el aviso conjunto FBI-CISA lee.
La pandilla de ransomware de Cuba normalmente aprovecha las vulnerabilidades conocidas en el software program comercial para infiltrarse en los sistemas y obtener acceso. También se basa en campañas de phishing, credenciales comprometidas y herramientas legítimas de protocolo de escritorio remoto (RDP) para distribuir el cargador Hancitor, que elimina a los ladrones y ejecuta troyanos de acceso remoto (RAT).
CISA dijo que los actores de amenazas habían ampliado sus tácticas, técnicas y procedimientos (TTP) en la primavera de 2022. “Este año, los actores de ransomware de Cuba han agregado a sus TTP, e informes de terceros y de código abierto han identificado un posible vínculo entre Cuba actores de ransomware, actores de troyano de acceso remoto (RAT) RomCom y actores de ransomware Industrial Spy”.
RomCom RAT sirve como servidor de comando y management (C2) en las operaciones del grupo, incluida la explotación de CVE-2022-24521 (una vulnerabilidad de elevación de privilegios en el controlador del sistema de archivos de registro comunes de Home windows, CVSS: 7.8) y CVE-2020-1472(también un error de elevación de privilegios en Netlogon Distant Protocol, CVSS: 10).
En explicit, el ransomware Cuba evade la detección al finalizar los procesos de seguridad a través de ApcHelper.sys, un controlador de kernel firmado con un certificado que los actores de amenazas encontraron en el Fuga de NVIDIA por el grupo de extorsión LAPSUS$.
Controlador del núcleo del ransomware Cuba que utiliza una firma digital robada | Fuente: Palo Alto Networks Unidad 42
Ver más: Hacker Gang DEV-0569 encontrado usando anuncios de Google para empujar cargas útiles de ransomware
Si bien anteriormente se sabía que el sindicato de ransomware de Cuba vendía datos robados en su sitio de fugas, el grupo ahora está aprovechando el mercado en línea de Industrial Spy para intercambiar datos robados.
La pandilla de ransomware de Cuba se ha centrado previamente en cinco sectores de infraestructura crítica, incluidos los servicios financieros, las instalaciones gubernamentales, la atención médica y la salud pública, la fabricación crítica y la tecnología de la información. CISA señaló que RomCom se utilizó para apuntar a organizaciones militares extranjeras, empresas de TI, intermediarios y fabricantes de alimentos.
En 2022, la pandilla de ransomware Cuba se vinculó a Rusia. Se centró en la electricidad, los sistemas de agua y el transporte. en montenegro (agosto) e infraestructura crítica y gubernamental de Ucrania en octubre.
“Tropical Scorpius sigue siendo una amenaza activa”, dijo la Unidad 42 de Palo Alto Networks, que rastrea el ransomware de Cuba como Tropical Scorpius. “La actividad del grupo deja en claro que un enfoque de comercio que utiliza un híbrido de herramientas más matizadas que se enfoca en los componentes internos de Home windows de bajo nivel para la evasión de defensa y la escalada de privilegios locales puede ser muy efectivo durante una intrusión”.
“Junto con un toque de técnicas exitosas y bien adoptadas de software program delictivo, esto presenta desafíos únicos para los defensores”.
Unit 42 aconseja a las organizaciones que apliquen las respectivas actualizaciones de seguridad para parchear las vulnerabilidades conocidas. La empresa también recomendó implementar una herramienta de gestión de eventos e información de seguridad (SIEM) alimentada por capacidades de registro avanzadas, como Sysmon, registro de línea de comandos de Home windows y registro de PowerShell.
La capacitación para la identificación de phishing puede contribuir en gran medida a frustrar los ataques de ransomware de Cuba.
Para obtener detalles técnicos del ransomware Cuba y los TTP relevantes, consulte la Unidad 42 redactar.
Háganos saber si disfrutó leyendo esta noticia en LinkedIn, Gorjeoo Fb. ¡Nos encantaría saber de usted!
Fuente de la imagen: Shutterstock
MÁS SOBRE RANSOMWARE
