Cuba Ransomware

Publicado hace 4 meses 14-08-2024

En diciembre del año 2019 se detectó por primera vez un grupo llamado Cuba ransomware, dicho grupo fue mejorando sus técnicas y procedimientos para robustecer sus operaciones y así tener un mayor alcance. No fue hasta diciembre del 2021, un año después de su primera detección, que el FBI en conjunto con la CISA tomaron cartas en el asunto, pues empezó a tomar fuerza especialmente en Estados Unidos. [2] [1] 

Desde finales de 2021 Cuba ransomware ha afectado a más de 100 organizaciones e infraestructura critica de diferentes sectores de la industria como lo son el sector financiero, instalaciones del gobierno, sistema de salud, manufactura crítica y tecnologías de la información, demandando grandes sumas de dinero que ascienden a 145 millones de dólares y obteniendo 60 millones de dólares en pagos. Su crecimiento como amenaza no se detuvo en 2021, ya que desde 2022 llegó a su punto máximo de robustez. [1] 

El ransomware se distribuye a través de Hancitor, un ladrón de información y distribuidor de malware, el cual generalmente es entregado a través de archivos adjuntos maliciosos. También se ha visto que explota vulnerabilidades en Microsoft Exchange server, Windows Common Log Files (CVE-2022-24521) para robar tokens del sistema y elevar privilegios, Así como también, explotar la vulnerabilidad CVE-2020-1472(ZeroLogon) para ganar privilegios de administración. [1] [3] 

Cuba ransomware usa tácticas de doble extorsión junto a un sitio de filtraciones sobre las organizaciones afectadas, en sus inicios de 2019 no tenía dicho sitio de filtraciones, apareciendo después de sus primeros avistamientos, el sitio incluye una sección de pagos para vender información a otras partes interesadas. [3] 

 

 

Imagen del sitio de filtraciones de cuba ransomware [3] 

 

Imagen del sitio de filtraciones de cuba ransomware de contenido a la venta [3] 

Cuba ransomware también se ha relacionado con más malware como lo es RomCom RAT utilizando su malware RomCom un Remote Acces Trojan (RAT) e Industrial Spy ransomware actors ya que en un ataque a una compañía de cuidado de la salud fuera de estados unidos, se detectó que se desplego dicho Industrial Spy ransomware que comparte similaridades con Cuba ransomware, además de también poner a la venta información de sus víctimas en el sitio de filtraciones de Industrial Spy además de tener la misma nota de rescate con la misma dirección de contacto. [1] 

A screenshot of a computer screenDescription automatically generated 

Imagen de la nota de rescate 

Aunque Cuba es un ransomware que lleva tiempo en el medio, no ha dejado de ser relevante. Su auge fue en 2022, con el mayor número de ataques registrados en su historia. En 2023, disminuyó drásticamente, con un total de 14 ataques, y para mediados de 2024, solo se tienen registrados 2 ataques por parte de este grupo. El primero ocurrió el 18 de enero contra una empresa llamada Deknudt Frames, con sede en Bélgica, y el segundo fue casi un mes después, el 1 de febrero, contra una empresa francesa llamada dms-Imaging. Aunque la actividad de este grupo de ransomware ha disminuido drásticamente, esto no significa que se deba dejar de prestar especial atención a Cuba ransomware.

Indicadores de Compromiso:

Tipo 

Identificador 

SHA256 

f1103e627311e73d5f29e877243e7ca203292f9419303c661aec57745eb4f26c 

SHA256 

571f8db67d463ae80098edc7a1a0cad59153ce6592e42d370a45df46f18a4ad8 

SHA256 

bd270853db17f94c2b8e4bd9fa089756a147ed45cbc44d6c2b0c78f361978906 

SHA256 

8e64bacaf40110547b334eadcb0792bdc891d7ae298fbfff1367125797b6036b 

SHA256 

61971d3cbf88d6658e5209de443e212100afc8f033057d9a4e79000f6f0f7cc4 

SHA256 

bff4dd37febd5465e0091d9ea68006be475c0191bd8c7a79a44fbf4b99544ef1 

SHA256 

4306c5d152cdd86f3506f91633ef3ae7d8cf0dd25f3e37bec43423c4742f4c42 

SHA256 

0f385cc69a93abeaf84994e7887cb173e889d309a515b55b2205805bdfe468a3 

SHA1 

eaced2fcfdcbf3dca4dd77333aaab055345f3ab4 

MD5 

4c32ef0836a0af7025e97c6253054bca 

MD5 

03c835b684b21ded9a4ab285e4f686a3 

Email 

admin@cuba-supp[.]com 

Email 

admin@encryption-support[.]com 

Email 

[email protected][.]net 

IP 

193.23.244.244 

IP 

144.172.83.13 

IP 

92.222.172.39 

IP 

171.25.193.9 

IP 

185.153.199.169 

IP 

38.108.119.121 

IP 

45.32.229.66 

IP 

45.86.162.34 

IP 

195.54.160.149 

IP 

45.91.83.176 

IP 

107.189.10.143 

IP 

199.58.81.140 

IP 

204.13.164.118 

IP 

131.188.40.189 

IP 

213.32.39.43 

IP 

86.59.21.38 

Taxonomia MITRE:

Fase 

Tecnica 

ID 

Initial Access 

Valid Accounts 

T1078 

Initial Access 

External Remote Services 

T1133 

Initial Access 

Exploit Public-Facing Application 

T1190 

Initial Access 

Phishing 

T1566 

Execution 

Command and Scripting Interpreter: PowerShell 

T1059.001 

Execution 

Software Deployment Tools 

T1072 

Privilege Escalation 

Exploitation for Privilege Escalation 

T1068 

Defense Evasion 

Impair Defenses: Disable or Modify Tools 

T1562.001 

Lateral Movement 

Remote Services Session: RDP Hijacking 

T1563.002 

Credential Access 

Credential Dumping: LSASS Memory 

T1003.001 

Credential Access 

Steal or Forge Kerberos Tickets: Kerberoasting 

T1558.003 

Command and Control 

Proxy: Manipulate Command and Control Communications 

T1090 

Recomendaciones

  • Auditar herramientas de acceso remoto. (NIST CSF, 2024) 

  • Revisar logs para de ejecución de software de acceso remoto. (NIST CSF, 2024) 

  • Limitar estrictamente el uso de los protocolos SMB y RDP. 

  • Realizar auditorías de seguridad. (NIST CSF, 2024) 

  • Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque. (NIST CSF, 2024)  

  • Tener filtros de correo electrónico y spam. 

  • Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social. 

  • Realizar copias de seguridad, respaldos o back-ups constantemente. 

  • Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos. 

  • Revisar continuamente los privilegios de los usuarios. 

  • Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante). 

  • Habilitar la autenticación multifactor. 

Referencias

  1. Cybersecurity & Infrastructure Security Agency. (2022, December 1). AA22-335A: Stopransomware: Cuba Ransomware. CISA. Recuperado el 12 de agosto del 2024 en: https://www.cisa.gov/news-events/cybersecurity-advisories/aa22-335a 
  2. FortiGuard Labs. (2022, December 1). AA22-335A Stopransomware: Cuba Ransomware. FortiGuard. Recuperado el 12 de agosto del 2024 en: https://www.fortiguard.com/threat-signal-report/4903/alert-aa22-335a-stopransomware-cuba-ransomware 
  3. Palo Alto Networks. (2022, December 1). Cuba Ransomware - Tropical Scorpius. Unit 42 by Palo Alto Networks. Recuperado el 12 de agosto del 2024 en: https://unit42.paloaltonetworks.com/cuba-ransomware-tropical-scorpius/ 

El nombre es requerido.
El email es requerido.
El email no es válido.
El comentario es requerido.
El captcha es requerido.



Comentarios

BOLETINES DESTACADOS

Vulnerabilidad en Windows LDAP
Publicado hace 6 días 06-01-2025

El pasado 10 de diciembre, Microsoft publicó su lista de vulnerabilidades en su denominado “Patch Tuesday”. En este se abordaban diferentes vulnerabilidades de diversas criticidades; algunas destacaban más que otras debido a su impacto y probabilidad de......

Ransomware Funksec
Publicado hace 2 semanas 26-12-2024

Se ha identificado un nuevo ransomware denominado Funksec, detectado en diciembre de 2024. En tan solo los primeros 10 días del mes, ya ha afectado a 31 víctimas.  El primer ataque registrado de Funksec ocurrió el 4 de diciembre del mismo año,......

Ransomware LockBit 4.0
Publicado hace 2 semanas 23-12-2024

Las familias de ransomware tienden a mejorar sus capacidades con el tiempo y están en constante evolución para evadir métodos de detección o generar un mayor impacto, por lo que pueden surgir variaciones del ransomware principal o nuevas versiones.......

BOLETINES RECIENTES

...
Vulnerabilidad en Windows LDAP
Publicado hace 6 días 06-01-2025
Leer más
...
Ransomware Funksec
Publicado hace 2 semanas 26-12-2024
Leer más
...
Ransomware LockBit 4.0
Publicado hace 2 semanas 23-12-2024
Leer más