El ransomware de Cuba

¿Qué es el ransomware cubano?

El ransomware Cuba, también conocido como Fidel, se descubrió por primera vez a finales de 2019 y saltó a la fama en 2022. El impacto de Cuba se duplicó año tras año, comprometiendo a cientos de víctimas en 2022, recaudó más de 60 millones de dólares en rescates, lo que llevó a CISA y al FBI a emitir alertas urgentes. El sitio web oficial del ransomware Cuba, basado en Tor-dot-onion, presenta un tema nacionalista cubano a pesar de que la información de inteligencia apunta a la pertenencia rusa del grupo: las comunicaciones contienen errores ortográficos típicos rusos. El ransomware Cuba está afiliado a las pequeñas pero desproporcionadamente impactantes amenazas RomCom e Industrial Spy.

El uso por parte de Cuba de técnicas estándar de empaquetado de software comercial se considera menos sofisticado que el malware patrocinado por el Estado, lo que indica que Cuba es probablemente el producto de un grupo pequeño pero talentoso de individuos con ánimo de lucro. Por "empaquetado" se entiende la compresión del software y las bibliotecas necesarias en un único ejecutable binario difícil de revertir o detectar por los escáneres antivirus.

Cuba se despliega de forma selectiva utilizando una estrategia de caza mayor, dirigida a unas pocas organizaciones de alto perfil en los sectores de servicios financieros, gobierno, sanidad, infraestructuras críticas y TI. Los informes indican que los operadores de Cuba entregan de forma fiable un paquete de descifrado para desencriptar los archivos de las víctimas cuando se paga el rescate, pero que también emplean una táctica de doble extorsión y se sabe que publican los datos y documentos robados de las víctimas que se niegan a pagar.

El ransomware de Cuba

Últimas noticias sobre el ransomware de Cuba

Cómo funciona el ransomware cubano

Cuba se lanza a menudo a través del malware cargador Hancitor de primera etapa, que obtiene acceso a través de ataques de phishing, vulnerabilidades expuestas o credenciales RDP robadas o forzadas. Para bloquear los archivos de los objetivos, Cuba utiliza el algoritmo de cifrado simétrico ChaCha20 y, a continuación, añade y cifra la clave de descifrado utilizando una clave pública RSA de la que posee la clave privada correspondiente.

Cabe destacar las diversas herramientas, tácticas y técnicas observadas en los ataques de Cuba. He aquí una lista no exhaustiva de las tácticas y técnicas de Cuba:

  • Comunicación con servidores de mando y control (C2) a través de malware SystemBC que utiliza conexiones SOCKS5.
  • Aprovechamiento de las vulnerabilidades de Microsoft Exchange para penetrar en los servidores de correo de la red
  • Desplazarse lateralmente por una red utilizando una plataforma PowerShell, SystemBC, Mimikatz, Cobalt Strike y herramientas integradas como cmd.exe.
  • Utilizar PSEXEC para transferir las cargas útiles a los nuevos sistemas comprometidos.
  • Eliminación de los controles de acceso a recursos compartidos de red
  • Creación de nuevos usuarios en el sistema comprometido para el acceso persistente 
  • Alteración de las reglas del cortafuegos para permitir el puerto 3389 para conexiones RDP
  • Desactivación de los productos de seguridad antivirus y de detección y respuesta para puntos finales (EDR )
  • Explotación del controlador Windows Common Log File System (CLFS) para robar credenciales de administrador
  • Utilización del descargador personalizado BUGHATCH, el antimlaware killer BURNTCIGAR y los marcos Metasploit para atacar sistemas.
  • Evadir las defensas y eludir la seguridad mediante la técnica Bring Your Own Vulnerable Driver (BYOVD).
  • Explotación de la vulnerabilidad CVE-2023-27532 a través de Veeam Backup Service para acceder a credenciales almacenadas.

Señales de un ataque de ransomware en Cuba

CISA y el FBI han publicado indicadores de compromiso (IOC) para ayudar a identificar los diversos componentes de la carga útil de Cuba, incluidos los nombres de archivo y las rutas de instalación más utilizados, las direcciones IP C2 y las firmas hash. Cuba coloca los archivos de los componentes en el directorio temporal de Windows (C:\windows\temp) y en la carpeta raíz de ASP.NET (C:\inetput\wwwroot\aspnet_client) y utiliza muchos tipos de archivos ejecutables: 

  • ASP.NET (.aspx
  • PowerShell (.ps1)
  • Scripts por lotes (.bat)
  • Bibliotecas de vínculos dinámicos (.dll)
  • Binarios (.bin)

Los archivos de Cuba también pueden nombrarse utilizando el último octeto de la dirección IP del host comprometido, por ejemplo, 253.ps1 y 253.bat en un sistema con la dirección IP 192.168.1.253.

Después de que Cuba cifra los archivos de la víctima, añade una extensión de archivo.cuba y crea un archivo llamado "!FAQ for Decryption!!!.txt" en cada carpeta. La nota de rescate contiene un breve mensaje y una dirección de correo electrónico para iniciar la comunicación con los atacantes.

Cómo prevenir un ataque de ransomware en Cuba

El ransomware Cuba utiliza múltiples técnicas de ataque, por lo que se recomienda un enfoque de Defensa en Profundidad para combatir a este vicioso adversario. Entre las medidas defensivas que se pueden emplear para combatir los ataques de Cuba ransomware se incluyen: 

  • Políticas de contraseñas que exijan un espacio de claves seguro y habiliten la autenticación multifactor para todos los servicios críticos.
  • Herramientas modernas de gestión de identidades y accesos (IAM) 
  • Productos avanzados de seguridad de puestos finales en todos los puestos finales para detectar indicadores de peligro (IOC) y tomar medidas defensivas para bloquear la ejecución de cargas útiles maliciosas.
  • Mantener actualizados todos los sistemas operativos y programas informáticos y realizar periódicamente análisis de vulnerabilidades y pruebas de penetración de toda la infraestructura de red, corrigiendo lo antes posible cualquier vulnerabilidad descubierta.
  • Aplicación de un enfoque de seguridad basado en el principio del menor privilegio, incluida la eliminación del acceso innecesario a recursos compartidos administrativos y otros servicios.
  • Redes segmentadas y NIPS y NIDS para supervisar la actividad de la red en busca de comportamientos anómalos.
  • Endurecimiento de todos los puntos finales, incluidas las estaciones de trabajo y los servidores de los empleados, mediante la desactivación de las actividades y los permisos de la línea de comandos y scripts, así como de los servicios no requeridos, para reducir la posibilidad de que se produzcan ataques del tipo "vivir del cuento" (LOTL).
  • Una sólida estrategia de copias de seguridad que incluya copias de seguridad offline, encriptadas e inmutables de los datos.

CylanceOPTICS Evita el ransomware de Cuba

CylanceOPTICS® proporciona detección y corrección de amenazas en el dispositivo utilizando inteligencia artificial (IA) para prevenir incidentes de seguridad con análisis de causa raíz, búsqueda inteligente de amenazas y capacidades automatizadas de detección y respuesta. Nuestro enfoque Endpoint Detection and Response (EDR) elimina eficazmente la latencia de respuesta. Puede ser la diferencia entre un incidente de seguridad menor y un evento generalizado y descontrolado.
Más información

Recursos relacionados:

Icono de recursos Prevención de pérdida de datos (DLP) Icono de recursos Seguridad de puntos finales Icono de recursos Plataformas de protección de puntos finales (EPP) Icono de recursos Detección y respuesta a puntos finales (EDR) Icono de recursos Detección y respuesta ampliadas (XDR) Icono de recursos Gestión de identidades y accesos (IAM) Icono de recursos Detección y respuesta gestionadas Icono de recursos XDR gestionado Icono de recursos Marco ATT&CK de MITRE Icono de recursos Defensa frente a amenazas móviles (MTD) Icono de recursos Análisis del comportamiento de usuarios y entidades (UEBA) Icono de recursos Arquitectura de confianza cero Icono de recursos Acceso a la red de confianza cero (ZTNA) Icono de recursos Seguridad de confianza cero Icono de recursos Gestión de eventos e información de seguridad (SIEM) Icono de recursos Servicio de Acceso Seguro Edge (SASE)
Más recursos