Secondo l'FBI, 49 organizzazioni di cinque settori di infrastrutture critiche sono state attaccate dal gruppo ransomware Cuba. Il danno è di almeno $ 43,9 milioni.
Alla fine della scorsa settimana, l'FBI americano ha rilasciato una dichiarazione in cui metteva in guardia dalle macchinazioni del gruppo ransomware Cuba. Ultimamente, sembra prendere di mira in particolare le aziende nei settori finanziario, sanitario, manifatturiero, informatico e governativo classificate come infrastrutture critiche. L'avviso riporta 49 casi noti in cui sono stati estorti almeno 43,9 milioni di dollari in riscatti. Come se quella somma non fosse abbastanza alta, l'FBI stima che le richieste iniziali degli hacker fossero di ben 74 milioni di dollari.
Il gruppo chiede un riscatto di 74 milioni di dollari
Il ransomware Cuba è diffuso dal malware Hancitor per ottenere l'accesso ai sistemi Windows. Questo caricatore è noto per iniettare malware come Trojan di accesso remoto (RAT) e ransomware nelle reti. Viene distribuito tramite e-mail di phishing, vulnerabilità di Microsoft Exchange, credenziali compromesse o strumenti legittimi di Remote Desktop Protocol (RDP) per ottenere l'accesso iniziale alla rete di una vittima. Quindi distribuisce servizi Windows legittimi come PowerShell, PsExec e altri servizi non specificati, che possono quindi sfruttare i privilegi di amministratore di Windows per eseguire in remoto il ransomware effettivo e altri processi.
Una volta che il sistema di una vittima è stato compromesso, il ransomware installa ed esegue un beacon Cobalt Strike durante il download di altri due file. Questi due file, a loro volta, consentono agli aggressori di rubare le password ed eseguire un file TMP sulla rete compromessa, che effettua chiamate all'API (Application Programming Interface). Il file TMP quindi si elimina e la rete inizia a comunicare con un repository di malware noto per risiedere su un URL in Montenegro.
Alto tasso di successo del gruppo di hacker
Il tasso di successo del gruppo di hacker è particolarmente sorprendente in questo caso, perché 43,9 milioni di dollari USA rappresentano un rendimento estremamente elevato per un numero relativamente piccolo di attacchi, anche rispetto ad altri gruppi di ransomware. La società di sicurezza Emsisoft, ad esempio, ha registrato quest'anno solo circa 105 attacchi da parte del gruppo Cuba. Il ben più noto gruppo ransomware Conti, invece, ha avuto 653 attacchi. Ciò consente anche di trarre conclusioni sull'entità dei danni causati dal ransomware ogni anno. Se un attore relativamente piccolo può già saccheggiare somme così ingenti, i profitti di altri gruppi più grandi potrebbero essere significativamente più alti, anche al di sopra delle somme di riscatto precedentemente note.
Altro su 8com.de
Informazioni su 8com Il Cyber Defence Center di 8com protegge efficacemente le infrastrutture digitali dei clienti di 8com dagli attacchi informatici. Include la gestione delle informazioni sulla sicurezza e degli eventi (SIEM), la gestione delle vulnerabilità e i penetration test professionali. Inoltre, offre lo sviluppo e l'integrazione di un sistema di gestione della sicurezza delle informazioni (ISMS) inclusa la certificazione secondo standard comuni. Misure di sensibilizzazione, formazione sulla sicurezza e gestione della risposta agli incidenti completano l'offerta.