Cuba Ransomware
.jpg?v=1726787493)
En diciembre del año 2019 se detectó por primera vez un grupo llamado Cuba ransomware, dicho grupo fue mejorando sus técnicas y procedimientos para robustecer sus operaciones y así tener un mayor alcance. No fue hasta diciembre del 2021, un año después de su primera detección, que el FBI en conjunto con la CISA tomaron cartas en el asunto, pues empezó a tomar fuerza especialmente en Estados Unidos. [2] [1]
Desde finales de 2021 Cuba ransomware ha afectado a más de 100 organizaciones e infraestructura critica de diferentes sectores de la industria como lo son el sector financiero, instalaciones del gobierno, sistema de salud, manufactura crítica y tecnologías de la información, demandando grandes sumas de dinero que ascienden a 145 millones de dólares y obteniendo 60 millones de dólares en pagos. Su crecimiento como amenaza no se detuvo en 2021, ya que desde 2022 llegó a su punto máximo de robustez. [1]
El ransomware se distribuye a través de Hancitor, un ladrón de información y distribuidor de malware, el cual generalmente es entregado a través de archivos adjuntos maliciosos. También se ha visto que explota vulnerabilidades en Microsoft Exchange server, Windows Common Log Files (CVE-2022-24521) para robar tokens del sistema y elevar privilegios, Así como también, explotar la vulnerabilidad CVE-2020-1472(ZeroLogon) para ganar privilegios de administración. [1] [3]
Cuba ransomware usa tácticas de doble extorsión junto a un sitio de filtraciones sobre las organizaciones afectadas, en sus inicios de 2019 no tenía dicho sitio de filtraciones, apareciendo después de sus primeros avistamientos, el sitio incluye una sección de pagos para vender información a otras partes interesadas. [3]
Imagen del sitio de filtraciones de cuba ransomware [3]
Imagen del sitio de filtraciones de cuba ransomware de contenido a la venta [3]
Cuba ransomware también se ha relacionado con más malware como lo es RomCom RAT utilizando su malware RomCom un Remote Acces Trojan (RAT) e Industrial Spy ransomware actors ya que en un ataque a una compañía de cuidado de la salud fuera de estados unidos, se detectó que se desplego dicho Industrial Spy ransomware que comparte similaridades con Cuba ransomware, además de también poner a la venta información de sus víctimas en el sitio de filtraciones de Industrial Spy además de tener la misma nota de rescate con la misma dirección de contacto. [1]
Imagen de la nota de rescate
Aunque Cuba es un ransomware que lleva tiempo en el medio, no ha dejado de ser relevante. Su auge fue en 2022, con el mayor número de ataques registrados en su historia. En 2023, disminuyó drásticamente, con un total de 14 ataques, y para mediados de 2024, solo se tienen registrados 2 ataques por parte de este grupo. El primero ocurrió el 18 de enero contra una empresa llamada Deknudt Frames, con sede en Bélgica, y el segundo fue casi un mes después, el 1 de febrero, contra una empresa francesa llamada dms-Imaging. Aunque la actividad de este grupo de ransomware ha disminuido drásticamente, esto no significa que se deba dejar de prestar especial atención a Cuba ransomware.
Indicadores de Compromiso:
|
Tipo |
Identificador |
|
SHA256 |
f1103e627311e73d5f29e877243e7ca203292f9419303c661aec57745eb4f26c |
|
SHA256 |
571f8db67d463ae80098edc7a1a0cad59153ce6592e42d370a45df46f18a4ad8 |
|
SHA256 |
bd270853db17f94c2b8e4bd9fa089756a147ed45cbc44d6c2b0c78f361978906 |
|
SHA256 |
8e64bacaf40110547b334eadcb0792bdc891d7ae298fbfff1367125797b6036b |
|
SHA256 |
61971d3cbf88d6658e5209de443e212100afc8f033057d9a4e79000f6f0f7cc4 |
|
SHA256 |
bff4dd37febd5465e0091d9ea68006be475c0191bd8c7a79a44fbf4b99544ef1 |
|
SHA256 |
4306c5d152cdd86f3506f91633ef3ae7d8cf0dd25f3e37bec43423c4742f4c42 |
|
SHA256 |
0f385cc69a93abeaf84994e7887cb173e889d309a515b55b2205805bdfe468a3 |
|
SHA1 |
eaced2fcfdcbf3dca4dd77333aaab055345f3ab4 |
|
MD5 |
4c32ef0836a0af7025e97c6253054bca |
|
MD5 |
03c835b684b21ded9a4ab285e4f686a3 |
|
|
admin@cuba-supp[.]com |
|
|
admin@encryption-support[.]com |
|
|
[email protected][.]net |
|
IP |
193.23.244.244 |
|
IP |
144.172.83.13 |
|
IP |
92.222.172.39 |
|
IP |
171.25.193.9 |
|
IP |
185.153.199.169 |
|
IP |
38.108.119.121 |
|
IP |
45.32.229.66 |
|
IP |
45.86.162.34 |
|
IP |
195.54.160.149 |
|
IP |
45.91.83.176 |
|
IP |
107.189.10.143 |
|
IP |
199.58.81.140 |
|
IP |
204.13.164.118 |
|
IP |
131.188.40.189 |
|
IP |
213.32.39.43 |
|
IP |
86.59.21.38 |
Taxonomia MITRE:
|
Fase |
Tecnica |
ID |
|
Initial Access |
Valid Accounts |
T1078 |
|
Initial Access |
External Remote Services |
T1133 |
|
Initial Access |
Exploit Public-Facing Application |
T1190 |
|
Initial Access |
Phishing |
T1566 |
|
Execution |
Command and Scripting Interpreter: PowerShell |
T1059.001 |
|
Execution |
Software Deployment Tools |
T1072 |
|
Privilege Escalation |
Exploitation for Privilege Escalation |
T1068 |
|
Defense Evasion |
Impair Defenses: Disable or Modify Tools |
T1562.001 |
|
Lateral Movement |
Remote Services Session: RDP Hijacking |
T1563.002 |
|
Credential Access |
Credential Dumping: LSASS Memory |
T1003.001 |
|
Credential Access |
Steal or Forge Kerberos Tickets: Kerberoasting |
T1558.003 |
|
Command and Control |
Proxy: Manipulate Command and Control Communications |
T1090 |
Recomendaciones
-
Auditar herramientas de acceso remoto. (NIST CSF, 2024)
-
Revisar logs para de ejecución de software de acceso remoto. (NIST CSF, 2024)
-
Limitar estrictamente el uso de los protocolos SMB y RDP.
-
Realizar auditorías de seguridad. (NIST CSF, 2024)
-
Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque. (NIST CSF, 2024)
-
Tener filtros de correo electrónico y spam.
-
Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social.
-
Realizar copias de seguridad, respaldos o back-ups constantemente.
-
Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos.
-
Revisar continuamente los privilegios de los usuarios.
-
Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante).
-
Habilitar la autenticación multifactor.
Referencias
- Cybersecurity & Infrastructure Security Agency. (2022, December 1). AA22-335A: Stopransomware: Cuba Ransomware. CISA. Recuperado el 12 de agosto del 2024 en: https://www.cisa.gov/news-events/cybersecurity-advisories/aa22-335a
- FortiGuard Labs. (2022, December 1). AA22-335A Stopransomware: Cuba Ransomware. FortiGuard. Recuperado el 12 de agosto del 2024 en: https://www.fortiguard.com/threat-signal-report/4903/alert-aa22-335a-stopransomware-cuba-ransomware
- Palo Alto Networks. (2022, December 1). Cuba Ransomware - Tropical Scorpius. Unit 42 by Palo Alto Networks. Recuperado el 12 de agosto del 2024 en: https://unit42.paloaltonetworks.com/cuba-ransomware-tropical-scorpius/
.jpg)
