La banda de ransomware de Cuba extorsionó a las víctimas con más de 60 millones de dólares en pagos de rescate entre diciembre de 2021 y agosto de 2022. un aviso conjunto de CISA y el FBI ha advertido.
El último aviso es un seguimiento de un alerta de flash publicado por el FBI en diciembre de 2021, que reveló que la pandilla había ganado cerca de $ 44 millones en pagos de rescate después de los ataques a más de 49 entidades en cinco sectores de infraestructura crítica en los Estados Unidos. Desde entonces, la pandilla de ransomware de Cuba ha obtenido $60 millones adicionales de ataques contra 100 organizaciones en todo el mundo, casi la mitad de los $145 millones que exigió en pagos de rescate de estas víctimas.
“Desde el lanzamiento del FBI Flash de diciembre de 2021, la cantidad de entidades estadounidenses comprometidas por el ransomware de Cuba se ha duplicado, con rescates exigidos y pagados en aumento”, dijeron las dos agencias federales el jueves.
Los actores de ransomware de Cuba, que han estado activos desde 2019, continúan apuntando a entidades estadounidenses en infraestructura crítica, que incluyen servicios financierosinstalaciones gubernamentales, atención médica y salud pública, fabricación crítica y tecnología de la información.
En agosto de este año, la pandilla fue vinculada a un ataque de ransomware dirigido al estado nación de Montenegro que se enfocó en los sistemas gubernamentales y otras infraestructuras y servicios públicos críticos, incluidos los sistemas de electricidad, agua y transporte. En el momento del ataque, la pandilla de ransomware Cuba afirmó que había obtenido “documentos financieros, correspondencia con empleados bancarios, movimientos de cuentas, balances, documentos fiscales, compensación [and] código fuente” del parlamento de Montenegro.
Cuba también estaba vinculada a una incumplimiento del Departamento de Vehículos Motorizados de California en abril de este año, en el que los atacantes comprometieron los registros de registro de vehículos de California que contienen nombres, direcciones, números de placas y números de identificación de vehículos.
El FBI y CISA agregaron que el Secuestro de datos gang ha modificado sus tácticas, técnicas y procedimientos desde principios de año y se ha relacionado con el malware RomCom, un troyano de acceso remoto personalizado para comando y control, y el ransomware Industrial Spy.
El aviso señala que el grupo, que la empresa de ciberseguridad Profero previamente vinculado a los piratas informáticos de habla rusa, por lo general extorsiona a las víctimas amenazándolas con filtrar los datos robados. Si bien estos datos generalmente se filtraron en Cuba web oscura sitio de fuga, comenzó a vender datos robados en el mercado en línea de Industrial Spy en mayo de este año.
CISA y el FBI están instando a las organizaciones en riesgo a priorizar el parcheo de las vulnerabilidades explotadas conocidas, para capacitar a los empleados para detectar e informar suplantación de identidad ataques y para habilitar y hacer cumplir la protección contra el phishing autenticación multifactor.
El lanzamiento de CISA y el aviso del FBI se produce cuando la pandilla de ransomware Cuba continúa enumerando nuevas víctimas en su sitio web. Las incorporaciones más recientes incluyen Generator Power, una empresa de alquiler de generadores con sede en el Reino Unido, y la firma alemana de monitoreo de medios Landau Media.
