Gli autori che stanno dietro il ransomware Cuba (degli hacker detti COLDDRAW) hanno ricevuto più di 60 milioni di dollari in pagamenti di riscatto e hanno compromesso oltre 100 entità in tutto il mondo a partire da agosto 2022.
In un nuovo avviso condiviso dalla US Cybersecurity and Infrastructure Security Agency (CISA) e dal Federal Bureau of Investigation (FBI), le agenzie hanno evidenziato un “forte aumento sia del numero di entità statunitensi compromesse sia degli importi del riscatto“.
La crew del ransomware, nota anche come Tropical Scorpius, è stata osservata prendere di mira servizi finanziari, strutture governative, assistenze sanitarie e settori IT, espandendo contemporaneamente le sue tattiche per ottenere l’accesso iniziale e interagire con le reti violate.
Come mai il Ransomware Cuba è così pericoloso?
Prima di tutto c’è da dire che, nonostante il nome “Cuba”, non ci sono prove che suggeriscano che gli autori del ransomware abbiano alcun legame o affiliazione con l’omonimo paese insulare.
Il punto di ingresso per gli attacchi prevede lo sfruttamento di falle di sicurezza note, phishing, credenziali compromesse e strumenti legittimi di protocollo desktop remoto (Remote Desktop Protocol, o RDP), seguito dalla distribuzione del ransomware tramite Hancitor (noto anche come Chanitor).
Alcune caratteristiche incorporate dal Ransomware sono le seguenti:
CVE-2020-1472 (punteggio CVSS: 10.0) – Vulnerabilità di elevazione dei privilegi nel protocollo remoto Netlogon (noto anche come ZeroLogon).
“Oltre a distribuire ransomware, gli autori [della minaccia informatica] hanno utilizzato tecniche di ‘doppia estorsione’, in cui esfiltrano i dati delle vittime e richiedono un pagamento di riscatto per decrittografarli e, minacciano di rilasciarli pubblicamente se un pagamento di riscatto non viene fatto“, ha osservato la CISA.
Qualcuno sostiene che il ransomware Cuba condivida alcuni collegamenti con gli operatori di RomCom RAT e un’altra famiglia di ransomware chiamata Industrial Spy, secondo recenti scoperte di BlackBerry e Palo Alto Networks Unit 42.
Il RomCom RAT viene distribuito attraverso “versioni trojanizzate” di software legittimo come SolarWinds Network Performance Monitor, KeePass, PDF Reader Pro, Advanced IP Scanner, pdfFiller e Veeam Backup & Replication che sono ospitati su siti web contraffatti.
L’avviso di CISA e FBI è l’ultimo di una serie di avvisi che le agenzie hanno emesso su diversi ceppi di ransomware come MedusaLocker, Zeppelin, Vice Society, Daixin Team e Hive.
Dal sito ufficiale della CISA possiamo trovare gli avvisi dell’FBI relativi al ransomware Cuba.
Oggi, il Federal Bureau of Investigation (FBI) e la CISA hanno pubblicato un Cybersecurity Advisory (CSA) #StopRansomware: Cuba Ransomware per fornire ai difensori della rete tattiche, tecniche e procedure (TTP) e indicatori di compromissione (IOC) associati al ransomware Cuba.
Le indagini dell’FBI hanno identificato questi TTP e IOC solo da agosto 2022. Questo CSA aggiorna l’ultimo rapporto dell’FBI di dicembre 2021: indicatori di compromissione associati a Cuba Ransomware. Gli aggiornamenti principali includono:
L’FBI ha identificato un forte aumento sia del numero di entità statunitensi compromesse sia degli importi di riscatto richiesti dagli attori del ransomware cubano.
Dalla primavera del 2022, gli autori del ransomware Cuba hanno ampliato i loro TTP.
Rapporti di terze parti e open source hanno identificato un possibile collegamento tra gli attori del ransomware Cuba, gli attori RomCom Remote Access Trojan (RAT) e gli attori del ransomware Industrial Spy [Spionaggio industriale].
FBI e CISA incoraggiano i difensori della rete a rivedere il CSA congiunto e ad applicare le mitigazioni incluse. Consulta StopRansomware.gov per ulteriori indicazioni su protezione, rilevamento e risposta da ransomware.
Beccarsi un ransomware, dipende (quasi) sempre dall’utente finale
La strategia per fermare i ransomware deve partire da noi utenti.
Ricordati sempre che di fatto un attacco ransomware tecnicamente non esiste, sta a te utente fare attenzione alle mail e a cosa scarichi.
————-
Contenuto pubblicato su tech.icrewplay.com Read More