Le FBI publie une mise en demeure concernant le ransomware Cuba
À la fin de la semaine dernière, la division Cyber du FBI a publié une alerte flash concernant le ransomware Cuba. Le but de ce document était de faire connaître la variante du ransomware et d'informer le public de l'impact qu'elle a eu jusqu'à présent.
Selon l'alerte flash, la partie exploitant le ransomware Cuba a jusqu'à présent réussi à lancer des attaques contre « au moins » 49 entités différentes. À la suite de ces attaques, le FBI a estimé que les escrocs qui gèrent le ransomware Cuba ont empoché « au moins » 43,9 millions de dollars en exploitant leur gang de cybercriminels.
Le ransomware Cuba cible les infrastructures et entités basées sur Windows opérant dans un large éventail de secteurs, de la finance au gouvernement, en passant par l'informatique et la santé.
Le véhicule utilisé pour diffuser le ransomware Cuba est le plus souvent le malware Hancitor, informe en outre le FBI. L'outil Hancitor est un compte-gouttes relativement populaire utilisé pour diffuser d'autres types de logiciels malveillants, des chevaux de Troie d'accès à distance aux différentes souches de ransomware.
Les opérateurs Hancitor utilisent également un large éventail d'outils pour accéder et compromettre les réseaux. Celles-ci vont des tentatives d'hameçonnage des employés victimes à l'utilisation d'informations d'identification volées et à l'abus d'outils de bureau à distance.
Une fois que le chargeur a déchargé le ransomware sur le système victime, les pirates informatiques utilisant le ransomware Cuba continuent d'abuser des outils système Windows légitimes tels que PowerShell, obtiennent des privilèges d'administrateur et exécutent la charge utile Cuba finale.
Cuba installe également une balise Cobalt Strike. Cobalt Strike est un outil légitime de « simulation d'adversaire » qui est devenu extrêmement populaire auprès des acteurs de la menace.
En plus de ses capacités de destruction et de cryptage des données, le ransomware Cuba utilise également l'outil malveillant MimiKatz pour exfiltrer les informations d'identification et utiliser le bureau à distance pour exploiter ces informations d'identification. Cobalt Strike est ensuite utilisé pour communiquer entre le compte RDP compromis et les pirates.
Même si les mauvais acteurs qui exploitent le ransomware Cuba ont jusqu'à présent récolté près de 44 millions de dollars, le total des demandes de rançon faites au cours de leurs attaques réussies a en fait atteint un montant exorbitant de 74 millions de dollars.
