.
O governo dos Estados Unidos emitiu um alerta sobre Cuba; não o estado, mas uma gangue de ransomware que está levando milhões em lucros roubados.
A gangue de Cuba atingiu mais de 100 organizações em todo o mundo, exigindo mais de US$ 145 milhões em pagamentos e extorquindo com sucesso pelo menos US$ 60 milhões desde agosto, de acordo com um comunicado conjunto do FBI e da Agência de Segurança Cibernética e Infraestrutura (CISA) dos EUA.
De acordo com alerta de segurança:
o fbi primeiro avisado sobre a gangue do cibercrime em dezembro de 2021 e, desde então, a contagem de vítimas apenas nos EUA dobrou. Ao mesmo tempo, os pagamentos de resgates recebidos também dispararam.
Pesquisadores de segurança privada identificaram possíveis ligações entre criminosos de ransomware de Cuba e seus RomCom trojan de acesso remoto (RAT) e contrapartes do ransomware Industrial Spy.
Os criminosos continuam visando cinco setores críticos de infraestrutura: serviços financeiros, governo, assistência médica e saúde pública, manufatura crítica e TI, de acordo com o FBI.
Como o bureau observou anteriormente, os malfeitores do ransomware Cuba tendem a usar bugs conhecidos em software comercial, e-mails de phishing, credenciais comprometidas e ferramentas de protocolo de área de trabalho remota para obter acesso inicial às redes de suas vítimas. Uma vez invadidos, eles distribuem o ransomware Cuba em sistemas comprometidos via Hancitorum carregador que pode descartar ou executar outros softwares desagradáveis, incluindo RATs.
Desde a primavera, os criminosos modificaram suas ferramentas para interagir com redes comprometidas e extorquir pagamentos, de acordo com os caçadores de ameaças da Unidade 42 da Palo Alto Networks. O braço de pesquisa e consultoria da loja de segurança também descobriu que os criminosos do ransomware Cuba exploram certas vulnerabilidades conhecidas e usam ferramentas legítimas para elevar privilégios e se aprofundar nos ambientes de suas vítimas.
Isso inclui explorar CVE-2022-24521 no driver CLFS (Common Log File System) do Windows para roubar tokens do sistema e elevar privilégios, usando um script PowerShell para direcionar contas de serviço para seu tíquete Kerberos do Active Directory associado e usando KerberCache para extrair tíquetes Kerberos em cache de um serviço de servidor de autoridade de segurança local do host (LSASS).
Eles também são conhecidos por explorar CVE-2020-1472também conhecido como “ZeroLogon”, para obter privilégios administrativos de domínio.
Além disso, a Unidade 42 possui observado a gangue usando dupla extorsão – é aqui que eles roubam dados, exigem um resgate para criptografar os dados e também ameaçam vazar informações confidenciais se a vítima não pagar – e observou que começou a usar o RomCom RAT para comando e controle na primavera.
Enquanto os invasores de ransomware de Cuba inicialmente usaram seu site de vazamento para vender dados roubados, por volta de maio eles começaram a vender seus dados no mercado online do Industrial Spy.
O FBI também atualizou sua lista de indicadores de comprometimento de ransomware de Cuba (IOCs) que viu durante as investigações de resposta a ameaças no final de agosto, e esta lista se baseia na lista anterior do IOC. [PDF] a partir de novembro de 2021. ®
.
