Cuba ransomware Gang obtiene $ 44 millones en ganancias - Calendae | Informática, Electrónica, CMS, Ciberseguridad

Cuba ransomware Gang obtiene $ 44 millones en ganancias

Hola otra vez. En el teclado Eduardo Arroyo y en el día de hoy te voy a contar sobre Cuba ransomware Gang obtiene $ 44 millones en ganancias

Cuba ransomware Gang obtiene $ 44 millones en ganancias

La pandilla está utilizando una variedad de herramientas y malware para llevar a cabo ataques de volumen en sectores críticos, advirtió el FBI.

La banda de ransomware «Cuba» se ha estabilizado en una rutina, comprometiendo al menos a 49 entidades en cinco sectores críticos en los Estados Unidos hasta noviembre, advirtió el FBI.

en un advertencia de flash, la Fed atribuyó al grupo a una serie de ataques a entidades estadounidenses en los sectores financiero, gubernamental, sanitario, manufacturero y de TI. En conjunto, las huelgas resultaron en la extorsión de $ 44 millones en pagos de rescate. Eso es poco más de la mitad de los $ 74 millones que la pandilla cubana realmente exigió durante los ataques, lo que indica que las empresas siguen divididas sobre si pagar o no.

El FBI no ha nombrado víctimas específicas, pero la oficina también advirtió el mes pasado que el grupo está apuntando a los casinos tribales en los Estados Unidos.

El FBI señaló que Cuba ransomware se distribuye utilizando una instalación de primera etapa que actúa como cargador de cargas útiles posteriores: el malware Hancitor, que ha existido durante al menos cinco años. Los operadores de Hancitor obtienen acceso inicial a las máquinas de destino mediante correos electrónicos de phishing, explotación de vulnerabilidades de Microsoft Exchange, credenciales comprometidas o herramientas legítimas de Protocolo de escritorio remoto (RDP), según el aviso del FBI.

Una vez que Hancitor está en su lugar, los actores de ransomware de Cuba también usan servicios legítimos de Windows, como PowerShell, PsExec y Cobalt Strike, la herramienta legítima de prueba de lápiz a la que los ciberdelincuentes han recurrido en masa para ayudar en el movimiento lateral. La herramienta utiliza balizas para identificar de forma eficaz las vulnerabilidades explotables dentro de un entorno objetivo.

«Una baliza de Cobalt Strike [is installed] como un servicio en la red de la víctima a través de PowerShell «, según el análisis del FBI». Una vez instalado, el ransomware descarga dos archivos ejecutables, que incluyen ‘pones.exe’ para la captura de contraseña y ‘krots.exe’, también conocido como KPOT, lo que permite Los actores cubanos de ransomware deben escribir en el archivo temporal (TMP) del sistema comprometido «.

Una vez que se carga el archivo TMP, KPOT se elimina y el archivo TMP se ejecuta en la red comprometida, un truco destinado a encubrir los rastros del ransomware.

«El archivo TMP incluye llamadas API relacionadas con la inyección de memoria que, una vez realizada, se purga del sistema», dice la advertencia. «Después de eliminar el archivo TMP, la red comprometida comienza a comunicarse con un repositorio de malware informado ubicado en el dominio de Montenegro, teoresp.com».

Los delincuentes cubanos también usan el malware MimiKatz para robar las credenciales de las víctimas y luego usan el Protocolo de escritorio remoto (RDP) para acceder al host de red comprometido con una cuenta de usuario específica, dijo el FBI.

«Una vez que se completa una conexión RDP, los actores del ransomware de Cuba utilizan el servidor Cobalt Strike para comunicarse con la cuenta de usuario comprometida», según el análisis. “Una de las funciones de secuencia de comandos iniciales de PowerShell asigna espacio de memoria para ejecutar una carga útil codificada en base64. Una vez cargada en la memoria, esta carga útil se puede utilizar para llegar al servidor de comando y control remoto (C2) [kurvalarva[dot]com]y luego distribuir la siguiente etapa de los archivos del ransomware «.

Los archivos de destino están encriptados con la extensión «.cuba», que le da al ransomware su nombre.

El análisis se produce a raíz de una advertencia conjunta del FBI / CISA a las organizaciones. ser más vigilante durante la temporada navideña, cuando muchas oficinas cierran durante días y el personal de TI puede haber quitado los ojos de encima.

«Aunque ni CISA ni el FBI han identificado actualmente ninguna amenaza específica, las tendencias recientes en 2021 muestran que los ciberatacantes malintencionados lanzan ataques de ransomware graves y de alto impacto durante las vacaciones y los fines de semana, incluidos los fines de semana del Día de la Independencia y el Día de la Madre», según la advertencia.

«Las amenazas de ransomware están en constante evolución», dijo por correo electrónico Mieng Lim, vicepresidente de gestión de productos de Digital Defense de HelpSystems. «Desde la mercantilización del ransomware a través de la reciente disponibilidad de herramientas como servicio, hasta estrategias de ataque cada vez más sofisticadas, es un panorama de amenazas que requiere una supervisión y formación constantes por parte de las organizaciones y los gobiernos».

La organización puede tomar medidas para protegerse mediante la implementación de las mejores prácticas conocidas, como la capacitación de concienciación del usuario sobre detección de correo electrónico de phishing, parches oportunos, soluciones de seguridad de correo electrónico, pruebas regulares de penetración y escaneo de vulnerabilidades, segregación de red, cifrado de datos, copias de seguridad remotas y un libro de estrategias de respuesta a incidentes robusto y probado, agregó Lim.

“Desafortunadamente, vivimos en una era en la que la prevención del riesgo cibernético al 100% ya no es posible, pero la vigilancia constante, la educación continua sobre amenazas cibernéticas y una estrategia de respuesta y detección de amenazas bien planificada contribuirán en gran medida a mantener la seguridad. los datos confidenciales están seguros «, señaló Lim.

.

Deberías compartir en una historia de tu Instagram para que tus colegas lo vean

??? ? ? ???

Comparte

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *