Adaptación del articulo “Ransomware Spotlight: Cuba» https://www.trendmicro.com/vinfo/us/security/news/ransomware-spotlight/ransomware-spotlight-cuba

El ransomware Cuba apareció en escena con una oleada de ataques de alto perfil a finales de 2021. Armado con una infraestructura expansiva, herramientas impresionantes y malware asociado, el ransomware Cuba se considera un actor importante en el panorama de las amenazas, y es probable que lo siga siendo en el futuro a través de su continua evolución.

El ransomware Cuba se observó por primera vez en diciembre de 2019, pero no cobró notoriedad hasta noviembre de 2021, cuando el FBI publicó un aviso oficial detallando sus actividades. Hasta agosto de 2022, los actores del Cuba ransomware habían comprometido a más de 100 entidades en todo el mundo, exigido más de 145 millones de dólares y recibido más de 60 millones de dólares en pagos de rescates, según un informe conjunto publicado por el FBI y el CISA en diciembre de 2022. Al igual que muchos operadores modernos de ransomware, hacen uso de la técnica de la doble extorsión para obligar a las víctimas a pagar la petición de rescate.

Los actores del ransomware Cuba han permanecido activos a lo largo de 2022. El grupo de ransomware ha participado en una serie de ataques de alto perfil, incluidos los dirigidos a instituciones gubernamentales en Europa. También ha refinado continuamente su rutina de ransomware y ha añadido capacidades para mejorar su eficiencia y eficacia. Basándonos en estos incidentes y en la continua evolución del ransomware, es probable que veamos más de sus iteraciones avanzadas en futuros ataques.

Qué deben saber las organizaciones sobre el ransomware Cuba

Trend Micro ha observado un resurgimiento de la actividad del ransomware Cuba en marzo y abril de 2022. Incluía una nueva variante que contenía actualizaciones -en particular de su instalador- que se cree mejoran la eficacia, minimizan el comportamiento no deseado del sistema e incluso proporcionan asistencia técnica a las víctimas en caso de negociaciones.

En agosto de 2022, la Unidad 42 de Palo Alto publicó un informe que proporcionaba información sobre un actor de amenazas llamado Tropical Scorpius que había estado desplegando el

ransomware Cuba a través de una serie de herramientas, tácticas y procedimientos (TTP). Entre estos hallazgos destaca el descubrimiento de un nuevo troyano de acceso remoto (RAT) llamado ROMCOM RAT que tiene varias capacidades, como cargar datos y recopilar una lista de procesos en ejecución. Se encontraron vínculos entre el actor de la amenaza y un mercado de extorsión de datos llamado Industrial Spy después de que este último expresara su intención de ramificarse hacia el ransomware.

El gobierno de Montenegro reveló en septiembre de 2022 que 150 estaciones de trabajo de diez instituciones gubernamentales habían sufrido un ataque de ransomware Cuba. Los propios autores lo corroboraron a través de su sitio de filtraciones, afirmando que habían logrado recuperar información sensible, incluidos documentos financieros, correspondencia, detalles de cuentas, balances y documentos fiscales.

En octubre de 2022, el Equipo Ucraniano de Respuesta a Emergencias Informáticas (CERT-UA) publicó información en la que advertía de un ataque de ransomware Cuba contra el país, golpeado por la guerra. Las víctimas fueron atraídas por correos electrónicos de phishing que aparentaban proceder de una organización de las fuerzas armadas ucranianas. Un enlace dentro del correo electrónico redirigía a un sitio web malicioso que contenía una nueva versión de PDF Reader que, al descargarse, conducía a un ejecutable. Este ejecutable descodifica y ejecuta una variante del malware ROMCOM.

Top Ciudades e Industrias Afectadas
Top Ciudades e Industrias Afectadas

El ransomware Cuba cuenta con una amplia infraestructura y utiliza numerosas herramientas en su arsenal. Entre ellas se incluyen utilidades de Windows como el protocolo de escritorio remoto (RDP), el bloque de mensajes de servidor (SMB) y PsExec, que combina con herramientas populares como Cobalt Strike (para el movimiento lateral y las comunicaciones de C&C) y Mimikatz (para el volcado de credenciales).

También aprovecha varias vulnerabilidades durante el proceso de infección. Por ejemplo, abusa de las vulnerabilidades ProxyShell y ProxyLogon para el acceso inicial, al tiempo que aprovecha una vulnerabilidad del controlador de Avast (C:\windows\temp\aswArPot.sys) como parte de su rutina de desactivación del antivirus.

Tenga en cuenta que, a pesar de su nombre, el ransomware Cuba parece proceder de Rusia, como demuestra su rutina de autodestruirse cuando se detecta una distribución de teclado o un idioma ruso en el sistema.

Cadena y Tecnicas de Infección

Cadena de Infección y Tecnicas del Ransomware Cuba

Recomendaciones

Estas son algunas de las mejores prácticas que las organizaciones pueden tener en cuenta para protegerse de las infecciones de ransomware Cuba:

Recomendaciones
Recomendaciones

Un enfoque multicapa puede ayudar a las organizaciones a proteger los posibles puntos de entrada en su sistema (endpoint, correo electrónico, web y red). Las soluciones de seguridad pueden detectar componentes maliciosos y comportamientos sospechosos, lo que puede ayudar a proteger a las empresas.

  • Trend Micro Vision One™ proporciona protección multicapa y detección de comportamientos, lo que ayuda a bloquear comportamientos y herramientas cuestionables en una fase temprana, antes de que el ransomware pueda causar daños irreversibles en el sistema.
  • Trend Micro Cloud One™ Workload Security protege los sistemas frente a amenazas conocidas y desconocidas que aprovechan las vulnerabilidades. Esta protección es posible gracias a técnicas como la aplicación virtual de parches y el aprendizaje automático.
  • Trend Micro™ Deep Discovery™ Email Inspector emplea un sandboxing personalizado y técnicas de análisis avanzadas para bloquear eficazmente los correos electrónicos maliciosos, incluidos los de phishing que pueden servir como puntos de entrada para el ransomware.
  • Trend Micro Apex One™ ofrece detección automatizada de amenazas de siguiente nivel y respuesta frente a problemas avanzados como las amenazas sin archivos y el ransomware, garantizando la protección de los puntos finales.

Indicadores de Compromiso

Los IOC de este artículo pueden consultarse aquí. Los indicadores reales pueden variar según el ataque.