Según el FBI, 49 organizaciones de cinco sectores de infraestructura crítica fueron atacadas por el grupo de ransomware Cuba. El daño es de al menos $ 43,9 millones.
A fines de la semana pasada, el FBI estadounidense emitió un comunicado advirtiendo sobre las maquinaciones del grupo de ransomware Cuba. Últimamente, parece estar apuntando particularmente a empresas de finanzas, salud, manufactura, tecnología de la información y organizaciones gubernamentales clasificadas como infraestructura crítica. El aviso informa 49 casos conocidos en los que se extorsionaron al menos 43,9 millones de dólares en rescates. Como si esa suma no fuera lo suficientemente alta, el FBI estima que las demandas iniciales de los piratas informáticos fueron la friolera de $ 74 millones.
Grupo exige un rescate de 74 millones de dólares
El ransomware Cuba es propagado por el malware Hancitor para obtener acceso a los sistemas Windows. Se sabe que este cargador inyecta malware como troyanos de acceso remoto (RAT) y ransomware en las redes. Se distribuye a través de correos electrónicos de phishing, vulnerabilidades de Microsoft Exchange, credenciales comprometidas o herramientas legítimas de Protocolo de escritorio remoto (RDP) para obtener acceso inicial a la red de la víctima. Luego implementa servicios legítimos de Windows como PowerShell, PsExec y otros servicios no especificados, que luego pueden explotar los privilegios de administrador de Windows para ejecutar de forma remota el ransomware real y otros procesos.
Una vez que el sistema de la víctima se ve comprometido, el ransomware instala y ejecuta una baliza Cobalt Strike mientras descarga dos archivos más. Estos dos archivos, a su vez, permiten a los atacantes robar contraseñas y ejecutar un archivo TMP en la red comprometida, que realiza llamadas a la interfaz de programación de aplicaciones (API). Luego, el archivo TMP se elimina y la red comienza a comunicarse con un repositorio de malware que se sabe que reside en una URL en Montenegro.
Alta tasa de éxito del grupo de hackers.
La tasa de éxito del grupo de hackers es particularmente sorprendente en este caso, porque 43,9 millones de dólares estadounidenses es un rendimiento extremadamente alto para un número comparativamente pequeño de ataques, también en comparación con otros grupos de ransomware. La empresa de seguridad Emsisoft, por ejemplo, registró solo unos 105 ataques del grupo Cuba este año. El grupo de ransomware Conti, mucho más conocido, por otro lado, tuvo 653 ataques. Esto también permite sacar conclusiones sobre la cantidad de daño causado por ransomware cada año. Si un actor comparativamente pequeño ya puede saquear sumas tan grandes, las ganancias de otros grupos más grandes podrían ser significativamente mayores, incluso por encima de las sumas de rescate conocidas anteriormente.
Más en 8com.de
Acerca de 8com El Centro de Ciberdefensa de 8com protege eficazmente las infraestructuras digitales de los clientes de 8com contra los ataques cibernéticos. Incluye gestión de eventos e información de seguridad (SIEM), gestión de vulnerabilidades y pruebas de penetración profesionales. Además, ofrece el desarrollo e integración de un Sistema de Gestión de Seguridad de la Información (SGSI) incluyendo la certificación según estándares comunes. Medidas de sensibilización, formación en seguridad y gestión de respuesta a incidentes completan la oferta.