El FBI publica un aviso formal sobre el ransomware de Cuba
A fines de la semana pasada, la División Cibernética del FBI lanzó una alerta relámpago sobre el ransomware Cuba. El propósito del documento era dar a conocer la variante de ransomware e informar al público sobre el impacto que ha tenido hasta ahora.
Según la alerta flash, el partido que opera el ransomware Cuba ha logrado hasta ahora anotar ataques exitosos contra "al menos" 49 entidades diferentes. Como resultado de esos ataques, el FBI ha estimado que los delincuentes que ejecutan el ransomware de Cuba se han embolsado "al menos" la asombrosa cantidad de 43,9 millones de dólares por operar su banda de ciberdelincuentes.
El ransomware Cuba tiene como objetivo la infraestructura basada en Windows y las entidades que operan dentro de una amplia gama de sectores, desde finanzas hasta gobierno, TI y atención médica.
El vehículo utilizado para difundir el ransomware de Cuba suele ser el malware Hancitor, informa además el FBI. La herramienta Hancitor es un cuentagotas relativamente popular que también se utiliza para difundir otros tipos de malware, desde troyanos de acceso remoto hasta diferentes cepas de ransomware.
Los operadores de Hancitor utilizan una amplia gama de herramientas para obtener acceso y también comprometer las redes. Estos van desde intentos de phishing a los empleados víctimas hasta el uso de credenciales robadas y el abuso de herramientas de escritorio remoto.
Una vez que el cargador ha descargado el ransomware en el sistema de la víctima, los piratas informáticos que operan el ransomware Cuba proceden a abusar de las herramientas legítimas del sistema Windows como PowerShell, obtienen privilegios de administrador y ejecutan la carga útil final de Cuba.
Cuba también instala una baliza Cobalt Strike. Cobalt Strike es una herramienta legítima de "simulación de adversarios" que se ha vuelto extremadamente popular entre los actores de amenazas.
Además de sus capacidades de destrucción y encriptación de datos, el ransomware Cuba también emplea la herramienta maliciosa MimiKatz para exfiltrar credenciales y usar el escritorio remoto para aprovechar esas credenciales. Luego, Cobalt Strike se usa para comunicarse entre la cuenta RDP comprometida y los piratas informáticos.
A pesar de que los malos actores que operan el ransomware de Cuba han cosechado hasta ahora casi $ 44 millones, las demandas de rescate totales realizadas durante el curso de sus ataques exitosos en realidad alcanzaron la exorbitante suma de $ 74 millones.
