FBI publica notificação formal sobre o Cuba Ransomware
No final da semana passada, a Divisão Cibernética do FBI divulgou um alerta sobre o ransomware de Cuba. O objetivo do documento era aumentar a conscientização sobre a variante do ransomware e informar o público sobre o impacto que teve até agora.
De acordo com o alerta instantâneo, a parte que opera o ransomware Cuba conseguiu até agora realizar ataques bem-sucedidos contra "pelo menos" 49 entidades diferentes. Como resultado desses ataques, o FBI estimou que os criminosos que comandam o ransomware Cuba embolsaram "pelo menos" estonteantes $ 43,9 milhões com a operação de sua gangue cibercriminosa.
O ransomware Cuba tem como alvo a infraestrutura baseada em Windows e entidades que operam em uma ampla gama de setores, desde finanças até governo, TI e saúde.
O veículo usado para espalhar o ransomware Cuba é na maioria das vezes o malware Hancitor, informa o FBI. A ferramenta Hancitor é um conta-gotas relativamente popular, usado para espalhar outros tipos de malware, desde cavalos de Troia de acesso remoto a diferentes tipos de ransomware.
Os operadores Hancitor usam uma ampla gama de ferramentas para obter acesso e comprometer redes também. Isso vai desde tentativas de roubar funcionários de vítimas até o uso de credenciais roubadas e abuso de ferramentas de área de trabalho remota.
Depois que o carregador descarrega o ransomware no sistema da vítima, os hackers que operam o Cuba ransomware abusam de ferramentas legítimas do sistema Windows, como o PowerShell, obtêm privilégios de administrador e executam a carga útil Cuba final.
Cuba também instala um farol Cobalt Strike. Cobalt Strike é uma ferramenta legítima de "simulação de adversário" que se tornou extremamente popular entre os agentes de ameaças.
Além de sua destruição de dados e capacidades de criptografia, o Cuba ransomware também emprega a ferramenta maliciosa MimiKatz para exfiltrar credenciais e usar desktop remoto para alavancar essas credenciais. Cobalt Strike é então usado para se comunicar entre a conta RDP comprometida e os hackers.
Embora os malfeitores que operam o ransomware de Cuba tenham colhido até agora quase US $ 44 milhões, o total de pedidos de resgate feitos durante seus ataques bem-sucedidos chegou a exorbitantes US $ 74 milhões.
