Ransomware Cuba afeta mais de uma centena de organizações

O ransomware Cuba, conhecido por anexar a extensão ‘.cuba’ a ficheiros encriptados, está ativo desde o final de 2019 e foi responsável por vários ataques a infraestruturas críticas em 2022.

É distribuído através de um carregador de malware – o Hancitor – que fornece aos cibercriminosos acesso a redes comprometidas.

O alerta foi deixado pelo Federal Bureau of Investigation (FBI) e da Cybersecurity and Infrastructure Security Agency (CISA), depois de há um ano o FBI ter emitido um alerta sobre os ataques do Cuba, com os cibercriminosos a receberem mais de 43 milhões de dólares em resgates as vítimas. O valor foi depois atualizado para 60 milhões de dólares, uma vez que cerca de uma centena de organizações terão sido comprometidas em agosto deste ano, essencialmente do setor financeiro, governamental, da saúde, manufatura e IT.

Os atores do ataque comprometem as redes através de vulnerabilidades como credenciais roubadas, phishing e ferramentas legítimas de protocolo remoto de ambiente de trabalho. Para além da encriptação, exfiltram dados e ameaçam com a divulgação dos mesmos, a menos que seja efetuado um pagamento de resgate. Estes cibercriminosos têm explorado o CVE-2022-24521 – uma vulnerabilidade no driver CLFS do Windows e estarão igualmente envolvidos no ataque a Montenegro que foi atribuído a hackers com ligações à Rússia.

“Os atores do ataque Cuba usam ferramentas para escapar à deteção enquanto se movem lateralmente através de ambientes comprometidos antes de executarem o ataque de ransomware Cuba”, revelaram as duas entidades.