Le FBI a révélé que le gang de rançongiciels de Cuba avait pénétré les réseaux d’au moins 49 organisations américaines d’infrastructures critiques.
Une alerte flash publiée par le FBI a rapporté que le Gang de ransomware à Cuba a pénétré les réseaux d’au moins 49 organisations américaines d’infrastructures critiques.
« Le FBI a identifié, début novembre 2021, que les acteurs cubains des ransomwares ont compromis au moins 49 entités dans cinq secteurs d’infrastructure critiques, y compris, mais sans s’y limiter, les secteurs de la finance, du gouvernement, de la santé, de la fabrication et des technologies de l’information. » lit le alerte flash publié par le Federal Bureau of Investigation.
Cuba ransomware est actif depuis au moins janvier 2020. Ses opérateurs ont un site de fuite de données, où ils publient des données exfiltrées de leurs victimes qui ont refusé de payer la rançon. Le ransomware crypte les fichiers sur les systèmes ciblés à l’aide de l’extension « .cuba ».
Cuba ransomware a été activement distribué par le biais du Logiciel malveillant Hancitor, un malware de base qui s’est associé à des gangs de ransomware pour les aider à obtenir un accès initial aux réseaux cibles. Le téléchargeur Hancitor est actif depuis au moins 2016 pour avoir abandonné Pony et Vawtrak. En tant que chargeur, il a été utilisé pour télécharger d’autres familles de logiciels malveillants, tels que Ficker Stealer et NetSupport RAT, aux hôtes compromis.
Le malware Hancitor est distribué via des e-mails de phishing ou en utilisant des informations d’identification compromises, en exploitant les vulnérabilités de Microsoft Exchange ou des outils RDP (Remote Desktop Protocol) légitimes pour obtenir un accès initial au réseau d’une victime.
Le rapport indique également que les opérateurs de ransomware cubains ont également abusé des services Windows légitimes (c’est-à-dire PowerShell, PsExec) et d’autres services non spécifiés pour exécuter à distance un code malveillant et lancer leur ransomware.
Selon le rapport, les opérateurs de rançongiciels cubains ont reçu au moins 43,9 millions de dollars de rançons sur les 74 millions de dollars de rançon demandés.
Une fois le système d’une victime compromis, le ransomware installe et exécute une balise CobaltStrike en tant que service
sur le réseau de la cible via PowerShell. Lors de l’installation du ransomware, il télécharge deux fichiers exécutables, qui incluent le voleur de mot de passe « pones.exe » et « krots.exe », (alias) KPOT, qui permet aux acteurs malveillants d’écrire dans le fichier temporaire (TMP) du système compromis.
« Une fois le fichier TMP téléchargé, le fichier « krots.exe » est supprimé et le fichier TMP est exécuté sur le réseau compromis. Le fichier TMP comprend des appels d’interface de programmation d’application (API) liés à l’injection de mémoire qui, une fois exécuté, se supprime du système. Lors de la suppression du fichier TMP, le réseau compromis commence à communiquer avec un référentiel de logiciels malveillants signalé situé à Uniform Resource Locator (URL) basé au Monténégro.
teoresp.com. énonce l’alerte.
Le FBI invite les professionnels de la sécurité à partager des informations sur l’activité des ransomwares à Cuba, les autorités fédérales recherchent des informations telles que des journaux de limites indiquant les communications vers et depuis des adresses IP étrangères, des informations sur le portefeuille Bitcoin, le fichier de décryptage et/ou un échantillon bénin d’un fichier crypté.
Le FBI déconseille de payer la rançon car il n’y a aucune garantie de récupérer les fichiers cryptés. En payant la rançon, les victimes encouragent les acteurs malveillants à se lancer dans la distribution de logiciels de rançon.
L’alerte comprend des indicateurs de compromission et d’atténuation.
Suis moi sur Twitter: @securityaffairs et Facebook
Pierluigi Paganini
Rédacteur en chef international
Magazine de cyberdéfense
AVIS D’UTILISATION ÉQUITABLE : En vertu de la loi sur l’utilisation équitable, un autre auteur peut faire un usage limité du travail de l’auteur original sans demander la permission. Conformément au 17 US Code § 107, certaines utilisations de matériel protégé par le droit d’auteur « à des fins telles que la critique, les commentaires, les reportages, l’enseignement (y compris les copies multiples pour une utilisation en classe), l’érudition ou la recherche, ne constituent pas une violation du droit d’auteur ». En tant que politique, l’utilisation équitable est basée sur la conviction que le public a le droit d’utiliser librement des portions de matériel protégé par le droit d’auteur à des fins de commentaire et de critique. Le privilège d’utilisation équitable est peut-être la limitation la plus importante des droits exclusifs du titulaire du droit d’auteur. Cyber Defence Media Group est une société de reportage d’actualités, qui rapporte gratuitement des nouvelles, des événements, des informations et bien plus encore sur notre site Web Cyber Defence Magazine. Toutes les images et tous les rapports sont effectués exclusivement en vertu de l’utilisation équitable de la loi américaine sur le droit d’auteur.