Le Federal Bureau of Investigation (FBI) a révélé que le gang de ransomware cubain a compromis les réseaux d’au moins 49 organisations des secteurs d’infrastructure critiques américains.
« Le FBI a identifié, début novembre 2021, que les acteurs cubains des ransomwares ont compromis au moins 49 entités dans cinq secteurs d’infrastructures critiques, y compris, mais sans s’y limiter, les secteurs de la finance, du gouvernement, de la santé, de la fabrication et des technologies de l’information », a déclaré la loi fédérale. a déclaré l’agence d’application de la loi.
Le FBI a également ajouté que ce groupe de ransomware avait gagné plus de 40 millions de dollars depuis qu’il a commencé à cibler des entreprises américaines.
« Les acteurs cubains des ransomwares ont demandé au moins 74 millions de dollars US et ont reçu au moins 43,9 millions de dollars US de rançons », a ajouté le FBI.
Cela a été divulgué dans un alerte flash publié en coordination avec la Cybersecurity and Infrastructure Security Agency (CISA) et axé sur le partage d’indicateurs de compromission liés au ransomware Cuba.
Cuba ransomware livré via Hancitor
Le ransomware Cuba est livré sur les réseaux des victimes via le téléchargeur de malware Hancitor, qui permet au gang de ransomware d’accéder plus facilement aux réseaux d’entreprise précédemment compromis.
Hancitor (Chancitor) est connu pour fournir des voleurs d’informations, des chevaux de Troie d’accès à distance (RAT) et d’autres types de ransomwares.
Zscaler l’a repéré distribuant le cheval de Troie voleur d’informations Vawtrak. Depuis lors, il est passé aux voleurs de mots de passe, y compris Poney et Ficker, et, plus récemment, Cobalt Strike.
Pour la compromission initiale des systèmes de leurs victimes, Hancitor utilise des e-mails de phishing et des informations d’identification volées, exploite les vulnérabilités de Microsoft Exchange ou s’introduit via des outils RDP (Remote Desktop Protocol).
Une fois qu’ils auront utilisé l’accès fourni par Hancitor, les opérateurs de ransomware de Cuba utiliseront des services Windows légitimes (par exemple, PowerShell, PsExec et divers autres services non spécifiés) pour déployer leurs charges utiles de ransomware à distance et chiffrer les fichiers à l’aide de l’extension « .cuba ».
Demande d’informations sur les attaques de ransomware Cuba
Dans l’alerte flash, le FBI a également demandé aux administrateurs système et aux professionnels de la sécurité qui détectent l’activité des ransomwares Cuba au sein de leurs réseaux d’entreprise de partager toutes les informations connexes dont ils disposent avec leur Cyber Squad du FBI local.
Les informations utiles qui peuvent être partagées pour aider à identifier les attaquants à l’origine de ce gang de rançongiciels incluent « les journaux des limites indiquant les communications vers et depuis les adresses IP étrangères, les informations du portefeuille Bitcoin, le fichier de décryptage et/ou un échantillon bénin d’un fichier crypté ».
Le FBI a ajouté qu’il n’encourageait pas les paiements par ransomware et a déconseillé les cibles, car il n’y a aucune garantie que le paiement empêchera les fuites de données ou de futures attaques.
Au lieu de cela, cela motive les opérations de ransomware à cibler davantage de victimes et incite d’autres groupes de cybercriminalité à se joindre à eux pour mener des activités illégales similaires.
Cependant, l’agence fédérale reconnaît les dommages que les attaques de rançongiciels peuvent infliger à une entreprise, car les dirigeants pourraient être contraints d’envisager de payer les rançons pour protéger les actionnaires, les clients ou les employés. Le FBI recommande vivement de signaler de tels incidents à bureaux locaux du FBI.