Kaspersky ha dado a conocer detalles de su investigación sobre las actividades del famoso grupo de ransomware conocido como ‘Cuba’. Recientemente, esta pandilla de ciberdelincuentes ha desplegado malware que ha evadido detección avanzada y ha apuntado a organizaciones en todo el mundo, dejando un rastro de empresas comprometidas en diversas industrias.
Kaspersky detectó por primera vez las ofensivas de este grupo en diciembre de 2020. Como ocurre con la mayoría de los ciberextorsionadores, los atacantes detrás de este grupo cifran los archivos de las víctimas y exigen un rescate a cambio de una clave de descifrado. La pandilla utiliza tácticas y técnicas complejas para penetrar las redes de las víctimas, como la explotación de vulnerabilidades de software y la ingeniería social. Se sabe que utilizan conexiones de escritorio remoto (RDP) comprometidas para el acceso inicial.
Cuba es una cepa de ransomware de un solo archivo, difícil de detectar debido a su funcionamiento sin bibliotecas adicionales. Aunque los orígenes exactos de la pandilla y las identidades de sus miembros se desconocen, el archivo del PDB hace referencia a la carpeta «komar», una palabra rusa para «mosquito», lo que indica la posible presencia de miembros de habla rusa dentro del grupo. Cuba es conocido por su amplio alcance y se dirige a sectores de gobierno, comercio minorista, finanzas, logística, y manufactura, con la mayoría de víctimas detectadas en los Estados Unidos, Canadá, Europa, Asia y Australia. En el caso de América Latina, Chile y Colombia están entre los países más afectados.
Como otros grupos similares, Cuba es un equipo de ransomware como servicio (RaaS) que permite a sus socios utilizar el ransomware y la infraestructura asociada a cambio de una parte del rescate que cobren. Los pagos entrantes y salientes en las carteras bitcoin, cuyos identificadores proporcionan los piratas informáticos en sus notas de rescate, superan un total de 3,600 BTC, o más de $103,000,000 de dólares convertidos a razón de $28.624 dólares por 1 BTC. La pandilla posee numerosas billeteras, transfiere fondos constantemente entre ellas y utiliza mezcladores de bitcoins: servicios que envían bitcoins a través de una serie de transacciones anónimas para hacer que el origen de los fondos sea más difícil de rastrear.
Para proteger su organización contra el ransomware, Kaspersky recomienda seguir estas mejores prácticas:
- Mantener siempre actualizado el software en todos los dispositivos utilizados para evitar que los atacantes aprovechen vulnerabilidades e infiltren su red.
- Enfocar la estrategia de defensa en la detección de movimientos laterales y la exfiltración de datos a Internet. Prestar especial atención al tráfico saliente para detectar las conexiones de ciberdelincuentes a la red. Configurar copias de seguridad fuera de línea que los intrusos no puedan manipular y asegurar el acceso a ellas rápidamente cuando sea necesario o en caso de una emergencia.
- Habilitar la protección contra el ransomware en todos los endpoints. La herramienta gratuita Kaspersky Anti-Ransomware Tool for Business protege computadoras y servidores contra el ransomware y otros tipos de malware, previene exploits y es compatible con soluciones de seguridad ya instaladas.
¿Ya conoces nuestro canal de YouTube?
Suscríbete para que te mantengas enterado de las últimas noticias del mundo de los negocios.
