Un grupo de ransomware denominado 'Cuba' se encuentra detrás de un centenar de ataques a organizaciones alrededor de todo el mundo y ha comprometido 60 millones de dólares entre diciembre del año pasado y agosto de 2022.
Así lo han compartido el FBI y la CISA (Agencia de Ciberseguridad y Seguridad de Infraestructuras de EE.UU), señalando que no hay evidencias de que la pandilla esté basada en el país caribeño o tenga conexiones con él.
No es la primera vez que los dos organismos alertan contra estos ciberdelincuentes. A finales de 2021 el FBI compartía que el grupo había ganado al menos 43,9 millones de dólares en pago por los rescates tras haber atacado a unas 49 empresas u organizaciones en cinco sectores relacionados con las infraestructuras críticas.
Ahora CISA indica que en menos de un año las víctimas de Cuba se han duplicado y la cantidad de rescates exigidos y pagados ha aumentado. Este año lo que no ha variado han sido los sectores a los que se han dirigido: servicios financieros, instalaciones gubernamentales, atención médica y salud pública, manufactura y tecnologías de la información.
La agencia de ciberseguridad estadounidense también comparte que este actor de amenazas ha exigido al menos 145 millones de dólares en pagos durante los últimos 9 meses. Su aviso también vincula a Cuba con otras herramientas maliciosas, como el troyano de acceso remoto RomCom y el ransomware industria Spy.
Así opera Cuba
Según CISA, un informe de la compañía Palo Alto Networks halló que el grupo de ransomware suele explotar vulnerabilidades como CVE-2022-24521, que afecta al controlador del sistema de archivos de registro común de Windows, o CVE-2020-1472, una vulnerabilidad ampliamente explotada durante este ejercicio.
Palo Alto también señala que estos cibermalos también usan un amplio abanico de herramientas para evadir la detección.
Cuba suele extorsionar a las víctimas con la amenaza de filtrar los datos que les ha sustraído. Desde mediados de 2022 ha cambiado su modus operandi. Si antes comercializaban la información robada en su propio sitio de filtración ahora la venden online en la plataforma Industrial Spy.
La pandilla ha estado involucrada en ataques como el del gobierno de Montenegro, ocurrido en septiembre, y que puso patas arriba algunos servicios del país balcánico durante semanas, o el de la empresa medios alemana Landau Media.