Cuba Ransomware ganó más de $ 43 millones de 49 víctimas

El FBI ha publicado un aviso que detalla el ransomware de Cuba, que extorsionó a unas 49 víctimas por valor de más de 43 millones de dólares.

El informe enumeró cómo funciona el ransomware, comenzando con un malware Hancitor para ingresar a sistemas vulnerables y utilizando herramientas disponibles públicamente como las balizas CobaltStrike y MimiKatz para descargar y ejecutar sus herramientas de ransomware.

Índice de contenidos

    Modus Operandi de Cuba ransomware

    El ransomware Cuba es una de las pocas bandas que pasan desapercibidas por la seguridad, ya que genera muy pocas visitas cada año, lo que no parece tener ningún impacto. ¡Pero nos equivocamos! Según el Aviso reciente del FBI, la banda de Cuba es uno de los grupos de ransomware más lucrativos de su industria.

    Como se detallaron, el grupo de ransomware de Cuba ha ganado más de $ 43,9 millones de aproximadamente 49 víctimas hasta ahora. Esto asombró a los investigadores y empresas de seguridad, ya que su recuento de víctimas de ransomware en Cuba fue mucho menor de lo que informó el FBI. Además, las ganancias de la pandilla de Cuba son eclipsadas por la suma que habían pedido: 74 millones de dólares a las víctimas.

    A menudo se dirigen a empresas medianas, y en cinco sectores críticos como los sectores financiero, gubernamental, sanitario, manufacturero y de tecnología de la información, dice el FBI. Y esta operación comienza utilizando el malware Hancitor para el acceso inicial.

    Ellos distribuyen el Hancitor - un cargador de malware - mediante campañas de phishing, aprovechando las vulnerabilidades de Microsoft Exchange, credenciales comprometidas o mediante el protocolo de escritorio remoto (RDP) legítimo. Una vez dentro, presionan a los ladrones y otros ejecutables de malware para que sigan siendo explotados.

    El FBI señaló que la pandilla de Cuba utiliza herramientas públicas y legítimas como PowerShell, PsExec, balizas CobaltStrike, MimiKatz, etc. para obtener privilegios de administrador del sistema. Luego usan API dentro de los sistemas comprometidos para hacer llamadas desde un servidor remoto, que descarga su ransomware para bloquear el sistema.

    Todos los archivos infectados dentro del sistema tendrán una .Cuba extensión, para identificación. Y recientemente comenzaron un sitio de filtraciones, similar a otros grupos de ransomware para presionar a las víctimas para que paguen el rescate.

    Relacionados

    Deja una respuesta

    Tu dirección de correo electrónico no será publicada.

    Subir