Kaspersky ha alertado sobre las tácticas avanzadas utilizadas por el grupo de ransomware conocido como ‘Cuba’. Este grupo ha llevado a cabo ataques a nivel global que han afectado a diversas organizaciones en diferentes industrias.
El grupo ‘Cuba’ fue detectado por primera vez por Kaspersky
El grupo ‘Cuba’ fue detectado por primera vez por Kaspersky en diciembre de 2020. Al igual que otros ciberdelincuentes, los miembros de este grupo cifran los archivos de sus víctimas y exigen un rescate para proporcionar la clave de descifrado. Sin embargo, lo que destaca a ‘Cuba’ es su uso de tácticas y técnicas altamente complejas, como la explotación de vulnerabilidades de software y la ingeniería social. Además, para obtener acceso inicial utilizan conexiones de escritorio remoto (RDP) comprometidas.
‘Cuba’ es un tipo de ransomware que consiste en un solo archivo, lo que dificulta su detección debido a la falta de bibliotecas adicionales. Aunque no se conocen exactamente sus orígenes y la identidad de sus miembros, algunas pistas sugieren la presencia de hablantes de ruso en el grupo.
Los delincuentes han atacado a diversos sectores, incluyendo el gobierno, el comercio minorista, las finanzas, la logística y la manufactura. Las principales víctimas se encuentran en Estados Unidos, Canadá, Europa, Asia y Australia, aunque países de América Latina como Chile y Colombia también han sido afectados.
Una combinación de herramientas públicas y propietarias
El grupo ‘Cuba’ utiliza una combinación de herramientas públicas y propietarias, y actualiza regularmente su arsenal. Utilizan una táctica conocida como ‘BYOVD’ (Bring Your Own Vulnerable Driver), donde aprovechan controladores legítimos con agujeros de seguridad conocidos para llevar a cabo acciones maliciosas en el sistema.
Además del cifrado de datos, ‘Cuba’ se enfoca en extraer información sensible, como documentos financieros, registros bancarios y código fuente. Son especialmente vulnerables a sus ataques las empresas de desarrollo de software. A pesar de llevar algún tiempo en actividad, este grupo sigue siendo dinámico y perfecciona constantemente sus tácticas.
Para protegerse contra amenazas de ransomware como ‘Cuba’, Kaspersky sugiere mantener el software actualizado, enfocarse en detectar movimientos laterales y la fuga de datos, habilitar la protección contra ransomware en todos los puntos finales y proporcionar al equipo de Operaciones de Seguridad acceso a la última inteligencia de amenazas.
‘Cuba’ opera como un servicio de ransomware, lo que significa que permite a otros actores utilizar su ransomware y su infraestructura a cambio de una parte de los rescates obtenidos. Hasta ahora, las transacciones de bitcoins relacionadas con ‘Cuba’ han superado los 3,600 BTC, equivalentes a más de $103,000,000 de dólares. El grupo utiliza múltiples billeteras y mezcladores de bitcoins para dificultar el rastreo de los fondos.
Dejar una respuesta