MB Tech

Cuba Ransomware

15 December, 2022

Compartir

Cuba Ransomware

La Oficina Federal de Investigaciones (FBI), la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) han publicado una alerta en conjunto para difundir detalles de Cuba Ransomware identificados a través de investigaciones del FBI.

Si bien este ransomware es conocido por la industria como "Cuba ransomware", no hay indicios de que los actores del ransomware Cuba tengan alguna conexión o afiliación con la República de Cuba.

Desde diciembre de 2021 el FBI ha observado que los actores continúan apuntando a entidades en los siguientes cinco sectores de infraestructura crítica: servicios financieros, instalaciones gubernamentales, atención médica y salud pública, fabricación crítica, y Tecnología de la Información. 

Asimismo se ha identificado que los actores del ransomware Cuba tienen 101 entidades comprometidas en todo el mundo, con mayoría en Estados Unidos y han exigido USD 145 millones y recibido USD 60 millones en pagos de rescate, con tendencia al aumento desde que fue detectado.

Este año, los actores del ransomware de Cuba han aumentado sus TTP, y los informes de terceros y de código abierto han identificado un posible vínculo entre los actores del ransomware de Cuba, los actores del troyano de acceso remoto (RAT) RomCom y los actores del ransomware Industrial Spy.

TTP usados por Cuba Ransomware

  • Vulnerabilidades conocidas en software comercial 
  • Campañas de phishing 
  • Credenciales comprometidas 
  • Herramientas legítimas de protocolo de escritorio remoto  

Después de obtener el acceso inicial, los actores distribuyeron el ransomware Cuba en sistemas comprometidos a través de Hancitor, un cargador conocido por colocar o ejecutar ladrones, como troyanos de acceso remoto (RAT) y otros tipos de ransomware, en las redes de las víctimas.

Los actores del ransomware Cuba han explotado CVE y han utilizado herramientas para elevar los privilegios en los sistemas comprometidos. 


Sugerimos tomar estas acciones para defenderse proactivamente contra este tipo de ataques:

  • Priorizar la reparación de vulnerabilidades explotadas conocidas.
  • Capacitar a los usuarios para que reconozcan y denuncien los intentos de phishing.
  • Habilitar y hacer cumplir la autenticación multifactor resistente al phishing.


Para más información sobre acciones de mitigación y prevención, contacte con nuestros expertos.


Fuente: https://www.cisa.gov/uscert/ncas/alerts/aa22-335a 

Imagen: https://visualhunt.com


También te puede interesar

ISO 27001: Qué es y sus beneficios

22 December, 2021

ISO 27001 es un sistema de gestión de seguridad de la información (SGSI). También puedes conocerlo por su nombre más específico ISO/IEC 27001:2005. Esta norma fue desarrollada para proporcionar un modelo que permita definir, operar, revisar, monitorear, implementar, mantener e inspeccionar los sistemas de gestión de seguridad de la información. La ISO 27001 de seguridad de la información está compuesta por un proceso de 5 partes:Define una política de seguridad. Aclara el alcance del SGSI en cuestión. Evalúa riesgos y estudia los riesgos. Fija tus objetivos y los controles de calidad requeridos. Pr

Leer publicación

Scattered Spider

21 November, 2023

Scattered Spider es un grupo cibercriminal que se enfoca en grandes empresas y sus servicios de asistencia técnica de tecnología de la información (TI). Utilizan tácticas de ingeniería social, como phishing y ataques de intercambio de módulo de identidad de suscriptor (SIM), para obtener acceso a redes corporativas. Se han destacado por robo de datos, extorsión y uso del ransomware BlackCat/ALPHV. Los métodos de Scattered Spider incluyen suplantación de personal de TI, persuadir a empleados para que ejecuten herramientas de acceso remoto, obtener contraseñas de un solo uso (OTP) y manipular men

Leer publicación

Malware Infamous Chisel y botnet QakBot

03 September, 2023

Organizaciones de ciberseguridad del Reino Unido, Estados Unidos, Australia, Canadá y Nueva Zelanda han publicado un informe de análisis conjunto sobre Infamous Chisel, un nuevo malware móvil dirigido a dispositivos Android que tiene capacidades para permitir acceso no autorizado a dispositivos comprometidos, escanear archivos, monitorear el tráfico y robar periódicamente información confidencial. El malware se ha utilizado en una campaña de malware dirigida a dispositivos Android utilizados por el ejército ucraniano. Infamous Chisel es una colección de componentes dirigidos a dispositivos Andr

Leer publicación