Cuba RANSOMWARE.
Os atores de ameaças associados ao ransomware Cuba foram vinculados a táticas, técnicas e procedimentos (TTPs) anteriormente não documentados, incluindo um novo trojan de acesso remoto chamado ROMCOM RAT em sistemas comprometidos.
As novas descobertas vêm da equipe de inteligência de ameaças da Unidade 42 da Palo Alto Networks, que está rastreando o grupo de ransomware de extorsão dupla sob o apelido Tropical Scorpius , com tema de constelação .
Cuba ransomware (também conhecido como COLDDRAW ), que foi detectado pela primeira vez em dezembro de 2019, ressurgiu no cenário de ameaças em novembro de 2021 e foi atribuído a ataques contra 60 entidades em cinco setores críticos de infraestrutura, acumulando pelo menos US$ 43,9 milhões em pagamentos de resgate.
“O Cuba ransomware é distribuído por meio do malware Hancitor, um carregador conhecido por descartar ou executar ladrões, como Trojans de acesso remoto (RATs) e outros tipos de ransomware, nas redes das vítimas”, de acordo com um alerta de dezembro de 2021 do US Federal Bureau of Investigação (FBI).
“Os agentes de malware do Hancitor usam e-mails de phishing, vulnerabilidades do Microsoft Exchange, credenciais comprometidas ou ferramentas legítimas do Remote Desktop Protocol (RDP) para obter acesso inicial à rede da vítima.”
Nos meses seguintes, a operação de ransomware recebeu uma atualização com o objetivo de “otimizar sua execução, minimizar o comportamento não intencional do sistema e fornecer suporte técnico às vítimas do ransomware, caso optem por negociar”, segundo a Trend Micro.
A principal entre as mudanças incluiu encerrar mais processos antes da criptografia (por exemplo, Microsoft Outlook, Exchange e MySQL), expandir os tipos de arquivos a serem excluídos e revisar sua nota de resgate para oferecer suporte às vítimas via quTox.
Fonte: The Hacker News.
Gostou dessa notícia? Não esqueça de compartilhar para o seu amigo!