Seguridad IT

Kaspersky advierte sobre las tácticas avanzadas del Grupo ‘Cuba’ de ransomware

Kaspersky comparte resultados de su investigación en torno a las actividades del infame grupo de ransomware conocido como ‘Cuba’. Este grupo de ciberdelincuentes ha estado en el centro de la atención debido a sus ataques a nivel global, que han dejado un rastro de organizaciones comprometidas en diversas industrias.

Las ofensivas de ‘Cuba’ fueron detectadas por primera vez por Kaspersky en diciembre de 2020. Al igual que otros ciberextorsionadores, los perpetradores detrás de este grupo cifran los archivos de sus víctimas y exigen un rescate a cambio de proporcionar una clave de descifrado. Lo que distingue a ‘Cuba’ es su uso de tácticas y técnicas altamente complejas para infiltrar las redes de las víctimas, que incluyen la explotación de vulnerabilidades de software y la ingeniería social. Además, utilizan conexiones de escritorio remoto (RDP) comprometidas para obtener acceso inicial.

‘Cuba’ es una cepa de ransomware de un solo archivo, lo que lo hace especialmente difícil de detectar debido a la falta de bibliotecas adicionales. Aunque los orígenes exactos del grupo y las identidades de sus miembros siguen siendo desconocidos, algunas pistas apuntan a la posible presencia de hablantes de ruso en el grupo, como lo sugiere la referencia a la palabra rusa ‘komar’, que significa ‘mosquito’. ‘Cuba’ se ha dirigido a una amplia gama de sectores, incluyendo el gobierno, el comercio minorista, las finanzas, la logística y la manufactura. La mayoría de las víctimas se encuentran en Estados Unidos, Canadá, Europa, Asia y Australia, y en América Latina, países como Chile y Colombia han sido particularmente afectados.

CAT

El grupo ‘Cuba’ emplea una combinación de herramientas públicas y propietarias, y mantiene su conjunto de herramientas actualizado periódicamente. Utilizan una táctica intrigante conocida como ‘BYOVD’ (Bring Your Own Vulnerable Driver), donde aprovechan controladores legítimos con agujeros de seguridad conocidos para ejecutar acciones maliciosas en el sistema. Si tienen éxito, esto les permite explotar vulnerabilidades en el código del controlador, lo que puede dar lugar a ataques de escalada de privilegios y otras acciones maliciosas.

Una característica única del grupo ‘Cuba’ es su alteración de las marcas de tiempo de compilación, lo que dificulta la labor de los investigadores. Además del cifrado de datos, ‘Cuba’ se enfoca en extraer información sensible, como documentos financieros, registros bancarios, cuentas empresariales y código fuente. Las empresas de desarrollo de software son especialmente vulnerables a sus ataques. A pesar de haber estado en el radar durante algún tiempo, este grupo sigue siendo dinámico y constantemente perfecciona sus tácticas.

Gleb Ivanov, experto en ciberseguridad de Kaspersky, destaca la importancia de mantenerse informado: ‘Nuestros hallazgos más recientes destacan la importancia de tener acceso a los últimos informes e inteligencia de amenazas. A medida que grupos de ransomware como Cuba evolucionan y perfeccionan sus tácticas, mantenerse al tanto de las tendencias es crucial para mitigar eficazmente posibles ataques. Con el panorama siempre cambiante de las ciberamenazas, el conocimiento es la defensa definitiva contra los ciberdelincuentes emergentes.’

‘Cuba’ opera como un equipo de ransomware como servicio (RaaS), lo que significa que permite a otros actores utilizar su ransomware y la infraestructura relacionada a cambio de una parte de los rescates obtenidos. Hasta la fecha, las transacciones de bitcoins relacionadas con ‘Cuba’ han superado los 3,600 BTC, equivalentes a más de $103,000,000 de dólares. El grupo utiliza múltiples billeteras y mezcladores de bitcoins para dificultar el seguimiento de los fondos.

Para protegerse contra amenazas de ransomware como ‘Cuba’, Kaspersky recomienda una serie de mejores prácticas que incluyen mantener el software actualizado, enfocarse en la detección de movimientos laterales y la exfiltración de datos, habilitar protección contra el ransomware en todos los endpoints, y proporcionar al equipo de Operaciones de Seguridad acceso a la última inteligencia de amenazas.

¡MANTENGÁMONOS EN CONTACTO!

Nos encantaría que estuvieras al día de nuestras últimas noticias y ofertas 😎

Autorizo al Prensario y a sus anunciantes a almacenar los datos solicitados y acepto que puedan enviarme comunicaciones de sus productos y servicios. *

¡No hacemos spam! Lee nuestra política de privacidad para obtener más información.

Mostrar más

Publicaciones relacionadas

Botón volver arriba