Segundo o FBI, 49 organizações de cinco setores críticos de infraestrutura foram atacadas pelo grupo de ransomware Cuba. Os danos são de pelo menos US$ 43,9 milhões.
No final da semana passada, o FBI americano emitiu um comunicado alertando sobre as maquinações do grupo de ransomware de Cuba. Ultimamente, parece estar voltado principalmente para empresas nos setores financeiro, de saúde, manufatura, tecnologia da informação e organizações governamentais classificadas como infraestrutura crítica. O aviso relata 49 casos conhecidos em que pelo menos US$ 43,9 milhões em resgates foram extorquidos. Como se essa quantia não fosse alta o suficiente, o FBI estima que as demandas iniciais dos hackers foram de US$ 74 milhões.
Grupo exige resgate de US$ 74 milhões
Cuba ransomware é proliferado pelo malware Hancitor para obter acesso aos sistemas Windows. Este carregador é conhecido por injetar malware, como Trojans de acesso remoto (RATs) e ransomware nas redes. Ele é distribuído por meio de e-mails de phishing, vulnerabilidades do Microsoft Exchange, credenciais comprometidas ou ferramentas legítimas de Protocolo de Área de Trabalho Remota (RDP) para obter acesso inicial à rede da vítima. Em seguida, ele implanta serviços legítimos do Windows, como PowerShell, PsExec e outros serviços não especificados, que podem explorar os privilégios de administrador do Windows para executar remotamente o ransomware real e outros processos.
Depois que o sistema da vítima é comprometido, o ransomware instala e executa um sinalizador Cobalt Strike enquanto baixa mais dois arquivos. Esses dois arquivos, por sua vez, permitem que invasores roubem senhas e executem um arquivo TMP na rede comprometida, que faz chamadas para a API (Application Programming Interface). O arquivo TMP então se exclui e a rede começa a se comunicar com um repositório de malware conhecido por residir em uma URL em Montenegro.
Alta taxa de sucesso do grupo de hackers
A taxa de sucesso do grupo de hackers é particularmente surpreendente neste caso, porque 43,9 milhões de dólares americanos é um rendimento extremamente alto para um número comparativamente pequeno de ataques - também em comparação com outros grupos de ransomware. A empresa de segurança Emsisoft, por exemplo, registrou apenas cerca de 105 ataques do grupo cubano este ano. O muito mais conhecido grupo de ransomware Conti, por outro lado, teve 653 ataques. Isso também permite tirar conclusões sobre a quantidade de danos causados pelo ransomware a cada ano. Se um ator comparativamente pequeno já pode saquear quantias tão grandes, os lucros de outros grupos maiores podem ser significativamente maiores - mesmo acima das quantias de resgate conhecidas anteriormente.
Mais em 8com.de
Sobre 8com O 8com Cyber Defense Center protege efetivamente as infraestruturas digitais dos clientes da 8com contra ataques cibernéticos. Inclui informações de segurança e gerenciamento de eventos (SIEM), gerenciamento de vulnerabilidades e testes de penetração profissionais. Além disso, oferece o desenvolvimento e integração de um Sistema de Gestão de Segurança da Informação (ISMS) incluindo certificação de acordo com padrões comuns. Medidas de conscientização, treinamento de segurança e gerenciamento de resposta a incidentes completam a oferta.