Informe de amenazas de McAfee ATR: Introducción rápida al ransomware de Cuba


Resumen ejecutivo

Cuba ransomware es un ransomware más antiguo, que ha experimentado recientemente algún desarrollo. Los actores han incorporado el filtraciónEn g de víctima datos para aumentar su impacto e ingresos, al igual que hemos visto recientemente con otras campañas importantes de ransomware.

En nuestro análisis, observamos que los atacantes tenían acceso a la purple antes de la infección y pudieron recopilar información específica para orquestar el ataque y tener el mayor impacto. Los atacantes operan utilizando un conjunto de scripts de PowerShell que les permite moverse lateralmente. La nota de rescate menciona que los datos fueron exfiltrados antes period cifrared. En un ataque similars nosotros tener observó el uso de a Carga útil Cobalt Strike, aunque nosotros tener no encontró evidencia clara de a relaciónEmbarcacion con Cuba ransomware.

Observamos Cuba ransomware dirigido a instituciones financieras, industria, tecnología y organizaciones logísticas.

La siguiente imagen muestra una descripción basic de paísies que se han visto afectados según nuestra telemetría.

Asesoramiento sobre cobertura y protección

Los defensores deben estar atentos a rastros y comportamientos que se correlacionen con fuente abierta herramientas de prueba de pluma como winPEAS, Lazagne, Bloodhound y Sharp Hound, o marcos de piratería como Cobalt Strike, Metasploit, Empire o Covenant, así como comportamiento de herramientas no maliciosas que tienen un doble uso. Estas herramientas aparentemente legítimas (p. Ej., ADfind, PSExec, PowerShell, and many others.) se pueden usar para cosas como enumeración y ejecución. Posteriormente, esté atento al uso anormal de Instrumental de administración de Windows WMIC (T1047). Aconsejamos a todos que consulten los siguientes blogs sobre indicadores de evidencia de un ataque de ransomware dirigido (Parte 1, Parte 2).

Al observar otras familias similares de ransomware como servicio, hemos visto que ciertos vectores de entrada son bastante comunes entre los delincuentes de ransomware:

  • Correo electrónico Lanza suplantación de identidad (T1566.001) a menudo se united states para participar directamente y / o ganar un punto de apoyo inicial. El correo electrónico de phishing inicial también se puede vincular a una cepa de malware diferente, que actúa como cargador y punto de entrada para que los atacantes continúen comprometiendo por completo la crimson de la víctima. Hemos observado esto en el pasado con personas como Trickbot & Ryuk o Qakbot Y Prolocketc.
  • Exploit Public-Experiencing Application (T1190) es otro vector de entrada común, dado que los ciberdelincuentes suelen ser consumidores ávidos de noticias de seguridad y siempre están buscando un buen exploit. Por lo tanto, animamos a las organizaciones a que sean rápidas y diligentes a la hora de aplicar parches. En el pasado, existen numerosos ejemplos en los que las vulnerabilidades relativas al application de acceso remoto, los servidores website, los equipos de borde de la crimson y los cortafuegos se han utilizado como punto de entrada.
  • El uso de cuentas válidas (T1078) es y ha sido un método probado para que los ciberdelincuentes se afiancen. Después de todo, ¿por qué derribar la puerta si ya tienes las llaves? El acceso RDP débilmente protegido es un excelente ejemplo de este método de entrada. Para obtener los mejores consejos sobre seguridad RDP, consulte nuestro Weblog explicando la seguridad de RDP.
  • También se pueden obtener cuentas válidas a través de malware de productos básicos, como ladrones de información que están diseñados para robar credenciales de la computadora de una víctima. Infostealer Los delincuentes de ransomware pueden comprar registros que contienen miles de credenciales para buscar VPN e inicios de sesión corporativos. Para las organizaciones, tener una sólida gestión de credenciales y MFA en las cuentas de usuario es una necesidad absoluta.

Cuando se trata de lo actual ransomware binario, recomendamos encarecidamente actualizar y actualizar protección de endpoint, además de habilitar opciones como protección contra manipulaciones y Rollback. Por favor lee nuestro Website sobre cómo configurar mejor ENS 10.7 para protegerse contra ransomware para obtener más detalles.

Para una protección activa, puede encontrar más detalles en nuestro sitio world wide web. https://www.mcafee.com/company/en-us/menace-center/risk-landscape-dashboard/ransomware-particulars.cuba-ransomware.html – y en nuestro detallado Defensor Blog.

Resumen de la amenaza

  • Cuba ransomware es golpeando actualmente a varias empresas en norte y sur America, así como en Europa.
  • Los atacantes usan un conjunto de scripts de PowerShell ofuscados para moverse lateralmente e implementar su ataque.
  • El sitio website para filtrar los datos robados se ha puesto en línea recientemente.
  • El malware está oculto y viene con varias técnicas de evasión.
  • Los actores tener vendió algunos de los robados datos.
  • El ransomware united states múltiples opciones de argumentos y tiene la posibilidad de descubrir recursos compartidos usando el NetShareEnum API.

Aprender más acerca de Cuba ransomware, Reglas de Yara, Indicadores de compromiso y Mitre ATT & CK técnicas utilizadas al leer nuestra detallado análisis técnico.





Enlace a la noticia primary