L'FBI pubblica un avviso formale relativo al ransomware di Cuba
Alla fine della scorsa settimana la Cyber Division dell'FBI ha rilasciato un avviso flash riguardante il ransomware Cuba. Lo scopo del documento era quello di aumentare la consapevolezza della variante ransomware e informare il pubblico dell'impatto che ha avuto finora.
Secondo il flash alert, il partito che gestisce il ransomware Cuba è riuscito finora a mettere a segno attacchi contro "almeno" 49 entità diverse. Come risultato di questi attacchi, l'FBI ha stimato che i criminali che gestiscono il ransomware Cuba hanno intascato "almeno" l'incredibile cifra di 43,9 milioni di dollari grazie alla gestione della loro banda di criminali informatici.
Il ransomware Cuba prende di mira infrastrutture ed entità basate su Windows che operano in un'ampia gamma di settori, dalla finanza al governo, dall'informatica alla sanità.
Il veicolo utilizzato per diffondere il ransomware Cuba è molto spesso il malware Hancitor, informa ulteriormente l'FBI. Lo strumento Hancitor è un dropper relativamente popolare utilizzato per diffondere anche altri tipi di malware, dai trojan di accesso remoto a diversi ceppi di ransomware.
Gli operatori di Hancitor utilizzano un'ampia gamma di strumenti anche per ottenere l'accesso e compromettere le reti. Questi vanno dai tentativi di phishing dei dipendenti vittime dell'utilizzo di credenziali rubate e dell'abuso di strumenti desktop remoti.
Una volta che il caricatore ha scaricato il ransomware sul sistema vittima, gli hacker che gestiscono il ransomware Cuba procedono ad abusare di strumenti di sistema Windows legittimi come PowerShell, ottenere privilegi di amministratore ed eseguire il payload Cuba finale.
Cuba installa anche un faro Cobalt Strike. Cobalt Strike è uno strumento legittimo di "simulazione dell'avversario" che è diventato estremamente popolare tra gli attori delle minacce.
Oltre alle capacità di distruzione e crittografia dei dati, il ransomware Cuba utilizza anche lo strumento dannoso MimiKatz per esfiltrare le credenziali e utilizzare il desktop remoto per sfruttare tali credenziali. Cobalt Strike viene quindi utilizzato per comunicare tra l'account RDP compromesso e gli hacker.
Anche se i cattivi attori che gestiscono il ransomware Cuba hanno finora raccolto quasi 44 milioni di dollari, le richieste di riscatto totali fatte nel corso dei loro attacchi riusciti hanno raggiunto in realtà l'esorbitante 74 milioni di dollari.
