Cuba Ransomware sigue evolucionando
Hay que aclarar que si este ransomware es conocido como “Cuba Ransomware”, no hay pruebas de que se le pueda vincular con actores de la República de Cuba.
Aclarado este punto, investigaciones llevadas por el FBI concluyen que Cuba Ransomware sigue evolucionando con nuevas TTPs vinculadas con actores conocidos, como pueden ser RomCom y su troyano de acceso remoto (RAT) y los actores del ransomware Industrial Spy.
Detalles Técnicos
Los sectores más afectados por este tipo de ransomware se encuentran cinco sectores de infraestructura crítica: servicios financieros, instalaciones gubernamentales, atención médica y salud pública, fabricación crítica y Tecnología de la información. Es verdad que la gran mayoría de los incidentes se han registrado en Estados Unidos, no obstante, es bueno conocer su forma de operar y protegerse de ello.
Tácticas, técnicas y procedimientos de los actores de Cuba Ransomware
Las siguientes técnicas son conocidas por ser usadas para obtención de acceso inicial:
– Vulnerabilidades conocidas en software especial
– Campañas de phishing
– Credenciales comprometidas
– Herramientas legítimas de protocolo de escritorio remoto (RDP)
Una vez obtenido el acceso inicial, los actores utilizaron Hancitor para distribuir el Cuba Ransomware.
Los actores del ransomware Cuba han explotado vulnerabilidades y debilidades conocidas y han utilizado herramientas para elevar los privilegios en los sistemas comprometidos. Según la Unidad 42 de Palo Alto Networks, los actores del ransomware Cuba tienen:
CVE-2022-24521 explotado en el controlador del sistema de archivos de registro comunes (CLFS) de Windows para robar tokens del sistema y elevar los privilegios.
Usó un script de PowerShell para identificar y dirigirse a cuentas de servicio para su ticket de Kerberos de Active Directory asociado. Luego, los actores recolectaron y descifraron los boletos de Kerberos fuera de línea a través de Kerberoasting.
Usó una herramienta, llamada KerberCache, para extraer vales de Kerberos almacenados en caché de la memoria del servicio de servidor de autoridad de seguridad local (LSASS) de un host.
Usó una herramienta para explotar CVE-2020-1472 (también conocida como «ZeroLogon») para obtener privilegios administrativos de dominio. Según los informes, esta herramienta y sus intentos de intrusión se han relacionado con Hancitor y Qbot.
Según la Unidad 42 de Palo Alto Networks, los actores del ransomware Cuba usan herramientas para evadir la detección mientras se mueven lateralmente a través de entornos comprometidos antes de ejecutar el ransomware Cuba. Específicamente, los actores “aprovecharon un cuentagotas que escribe un controlador de kernel en el sistema de archivos llamadoApcHelper.sys. Esto tiene como objetivo y finaliza los productos de seguridad. El cuentagotas no se firmó, sin embargo, el controlador del kernel se firmó con el certificado que se encuentra en la fuga de LAPSUS NVIDIA».
Además de implementar ransomware, los actores han utilizado técnicas de «doble extorsión», en las que filtran los datos de la víctima y exigen el pago de un rescate para descifrarlo y amenazan con publicarlo si no se paga el rescate. hecho.
Cuba Ransomware Link a RomCom e Industrial Spy Marketplace
Desde la primavera de 2022, informes de terceros y de código abierto han identificado un vínculo aparente entre los actores del ransomware Cuba, los actores RAT de RomCom y los actores del ransomware Industrial Spy:
Según la Unidad 42 de Palo Alto Networks, los actores del ransomware Cuba comenzaron a usar el malware RomCom, una RAT personalizada, para comando y control (C2).
Los actores del ransomware Cuba también pueden estar aprovechando el ransomware Industrial Spy. Según informes de terceros, los presuntos actores de ransomware de Cuba pusieron en peligro a una empresa de atención médica extranjera. Los actores de amenazas implementaron el ransomware Industrial Spy, que comparte distintas similitudes en la configuración con el ransomware Cuba. Antes de implementar el ransomware, los actores se movieron lateralmente usando Impacket e implementaron RomCom RAT y Meterpreter Reverse Shell HTTP/HTTPS proxy a través de un servidor C2.
Los actores del ransomware de Cuba inicialmente usaron su sitio de fuga para vender datos robados; sin embargo, alrededor de mayo de 2022, los actores comenzaron a vender sus datos en el mercado en línea de Industrial Spy para vender datos robados.
Los actores de RomCom se han dirigido a organizaciones militares extranjeras, empresas de TI, intermediarios de alimentos y fabricantes. Los actores copiaron código HTML legítimo de páginas web públicas, modificaron el código y luego lo incorporaron en dominios falsificados, que permitió a los actores de RomCom:
– Alojar aplicaciones troyanizadas falsificadas para:
— Monitor de rendimiento de red de SolarWinds (NPM),
— administrador de contraseñas KeePass,
— o PDF Reader Pro, (de PDF Technologies, Inc., no es un producto de Adobe Acrobat o Reader), y
– Software avanzado de escáner de IP;
– Implemente RomCom RAT como etapa final
IoC
Nombre del archivo | Ruta de archivo | Hash de archivo | |
netping.dll | c:\ventanas\temp | SHA256: f1103e627311e73d5f29e877243e7ca203292f9419303c661aec57745eb4f26c | |
shar.murciélago |
| MD5: 4c32ef0836a0af7025e97c6253054bca SHA256: a7c207b9b83648f69d6387780b1168e2f1eabd23ae6e162dd700ae8112f8b96c | |
Psexesvc.exe |
| SHA256: 141b2190f51397dbd0dfde0e3904b264c91b6f81febc823ff0c33da980b69944 | |
1.murciélago |
|
| |
216155s.dll |
|
| |
23246s.bat |
| SHA256: 02a733920c7e69469164316e3e96850d55fca9f5f9d19a241fad906466ec8ae8 | |
23246s.dll |
| SHA256: 0cf6399db55d40bc790a399c6bbded375f5a278dc57a143e4b21ea3f402f551f | |
23246st.dll |
| SHA256: f5db51115fa0c910262828d0943171d640b4748e51c9a140d06ea81ae6ea1710 | |
259238e.exe |
|
| |
31-100.bate |
|
| |
3184.bat |
|
| |
3184.dll |
|
| |
45.dll |
| SHA256: 857f28b8fe31cf5db6d45d909547b151a66532951f26cda5f3320d2d4461b583 | |
4ca736d.exe |
|
| |
62e2e37.exe |
|
| |
64.235.39.82 |
|
| |
64s.dll |
|
| |
7z.sfx |
|
| |
7zCon.sfx |
|
| |
7-zip.chm |
|
| |
82.ps1 |
|
| |
9479.bat |
| SHA256: 08eb4366fc0722696edb03981f00778701266a2e57c40cd2e9d765bf8b0a34d0 | |
9479p.bat |
| SHA256: f8144fa96c036a8204c7bc285e295f9cd2d1deb0379e39ee8a8414531104dc4a | |
9479p.ps1 |
| SHA256: 88d13669a994d2e04ec0a9940f07ab8aab8563eb845a9c13f2b0fec497df5b17 | |
a.exe
|
| MD5: 03c835b684b21ded9a4ab285e4f686a3 SHA1: eaced2fcfdcbf3dca4dd77333aaab055345f3ab4 SHA256: 0f385cc69a93abeaf84994e7887cb173e889d309a515b55b2205805bdfe468a3 SHA256: 0d5e3483299242bf504bd3780487f66f2ec4f48a7b38baa6c6bc8ba16e4fb605 SHA256: 7e00bfb622072f53733074795ab581cf6d1a8b4fc269a50919dda6350209913c SHA256: af4523186fe4a5e2833bbbe14939d8c3bd352a47a2f77592d8adcb569621ce02 | |
a220.bat |
|
| |
a220.dll |
| SHA256: 8a3d71c668574ad6e7406d3227ba5adc5a230dd3057edddc4d0ec5f8134d76c3 | |
a82.exe |
| SHA256: 4306c5d152cdd86f3506f91633ef3ae7d8cf0dd25f3e37bec43423c4742f4c42 | |
a91.exe |
| SHA256: 3d4502066a338e19df58aa4936c37427feecce9ab8d43abff4a7367643ae39ce | |
a99.exe |
| SHA256: f538b035c3de87f9f8294bec272c1182f90832a4e86db1e47cbb1ab26c9f3a0b | |
aa.exe |
|
| |
aa2.exe |
|
| |
aaa.stage.16549040.dns.alleivice.com |
|
| |
agregar2.exe |
|
| |
advapi32.dll |
|
| |
agente.13.ps1 |
|
| |
agente.bat |
| SHA256: fd87ca28899823b37b2c239fbbd236c555bcab7768d67203f86d37ede19dd975 | |
agente.dll |
|
| |
agente13.bat |
|
| |
agente13.ps1 |
| SHA256: 1817cc163482eb21308adbd43fb6be57fcb5ff11fd74b344469190bb48d8163b | |
agente64.bin |
| SHA256: bff4dd37febd5465e0091d9ea68006be475c0191bd8c7a79a44fbf4b99544ef1 | |
agsyst121.bat |
|
| |
agsyst121.dll |
|
| |
todo.murciélago |
| SHA256: ecefd9bb8b3783a81ab934b44eb3d84df5e58f0289f089ef6760264352cf878a | |
all.dll |
| SHA256: db3b1f224aec1a7c58946d819d729d0903751d1867113aae5cca87e38c653cf4 | |
anet.exe |
| SHA1: 241ce8af441db2d61f3eb7852f434642739a6cc3 SHA256: 74fbf3cc44dd070bd5cb87ca2eed03e1bbeec4fec644a25621052f0a73abbe84 SHA256: b160bd46b6efc6d79bfb76cf3eeacca2300050248969decba139e9e1cbeebf53 SHA256: f869e8fbd8aa1f037ad862cf6e8bbbf797ff49556fb100f2197be4ee196a89ae | |
aplicación.exe |
|
| |
appnetwork.exe |
|
| |
AppVClient.man |
|
| |
aswSP_arPot2 |
|
| |
aus.exe |
| SHA256: 0c2ffed470e954d2bf22807ba52c1ffd1ecce15779c0afdf15c292e3444cf674 SHA256: 310afba59ab8e1bda3ef750a64bf39133e15c89e8c7cf4ac65ee463b26b136ba | |
av.bat |
| SHA256: b5d202456ac2ce7d1285b9c0e2e5b7ddc03da1cbca51b5da98d9ad72e7f773b8 | |
c2.ps1 |
| ||
c2.ps1 |
|
| |
cdzehhlzcwvzcmcr.aspx |
|
| |
comprobar.exe |
|
| |
checkk.exe |
|
| |
checkk.txt |
| SHA256: 1f842f84750048bb44843c277edeaa8469697e97c4dbf8dc571ec552266bec9f | |
cliente32.exe |
| ||
comctl32 .dll |
|
| |
comp2.ps1 |
|
| |
comps2.ps1 |
|
| |
cqyrrxzhumiklndm.aspx |
|
| |
defensorcontrol.exe |
|
| |
ff.exe |
| SHA256: 1b943afac4f476d523310b8e3afe7bca761b8cbaa9ea2b9f01237ca4652fc834 | |
Archivo __agsyst121.dll |
| ||
Archivo __aswArPot.sys |
|
| |
Archivo __s9239.dll |
|
| |
Archivo_agsyst121.dll |
|
| |
Archivo_aswArPot.sys |
|
| |
Archivo_s9239.dll |
|
| |
ga.exe |
|
| |
gdi32 .dll |
|
| |
geumspbgvvytqrih.aspx |
|
| |
IObit UNLOCKER.exe |
|
| |
kavsa32.exe |
| MD5: 236f5de8620a6255f9003d054f08574b SHA1: 9b546bd99272cf4689194d698c830a2510194722 | |
kavsyst32.exe |
|
| |
kernel32.dll |
| ||
komar.bat |
| SHA256: B9AFE016DBDBA389000B01CE7645E7EEA1B0A50827CDED1CBAA48FBC715197BB | |
komar.dll |
|
| |
komar121.bat |
| ||
komar121.dll |
|
| |
komar2.ps1 |
| SHA256: 61971d3cbf88d6658e5209de443e212100afc8f033057d9a4e79000f6f0f7cc4 | |
komar64.dll |
| SHA256: 8E64BACAF40110547B334EADCB0792BDC891D7AE298FFBFF1367125797B6036B | |
mfcappk32.exe |
| ||
pasenuevo.ps1 |
| SHA256: c646199a9799b6158de419b1b7e36b46c7b7413d6c35bfffaeaa8700b2dcc427 | |
npalll.exe |
| SHA256: bd270853db17f94c2b8e4bd9fa089756a147ed45cbc44d6c2b0c78f361978906 | |
ole32.dll |
| ||
oleaut32.dll |
| ||
abrir.bat |
| SHA256: 2EB3EF8A7A2C498E87F3820510752043B20CBE35B0CBD9AF3F69E8B8FE482676 | |
abrir.exe |
|
| |
pasar.ps1 |
| SHA256: 0afed8d1b7c36008de188c20d7f0e2283251a174261547aab7fb56e31d767666 | |
pdfdecrypt.exe |
|
| |
powerview.ps1 |
| ||
prt3389.bat |
| SHA256: e0d89c88378dcb1b6c9ce2d2820f8d773613402998b8dcdb024858010dec72ed | |
ra.ps1 |
| SHA256: 571f8db67d463ae80098edc7a1a0cad59153ce6592e42d370a45df46f18a4ad8 | |
rg1.exe |
| ||
Rg2.exe |
|
| |
rundll32 |
| ||
s64174.bat |
| SHA256: 10a5612044599128981cb41d71d7390c15e7a2a0c2848ad751c3da1cbec510a2 SHA256: 1807549af1c8fdc5b04c564f4026e41790c554f339514d326f8b55cb7b9b4f79 | |
s64174.dll |
|
| |
s9239.bat |
|
| |
s9239.dll |
| ||
shell32.dll |
|
| |
stel.exe |
|
| |
syskav64.exe |
|
| |
sysra64, exe |
|
| |
systav332.bat |
| SHA256: 01242b35b6def71e42cc985e97d618e2fabd616b16d23f7081d575364d09ca74 | |
TC-9.22a.2019.3.exe |
|
| |
TeamViewer.exe |
|
| |
testDLL.dll |
| ||
tug4rigd.dll |
| SHA256: 952b34f6370294c5a0bb122febfaa80612fef1f32eddd48a3d0556c4286b7474 | |
UpdateNotificationPipeline.002.etl |
|
| |
usuario32.dll |
|
| |
v1.bat |
|
| |
v2.bat |
| ||
v3.bat |
|
| |
veeamp.exe |
| SHA256: 9aa1f37517458d635eae4f9b43cb4770880ea0ee171e7e4ad155bbdee0cbe732 | |
version.dll |
|
| |
vlhqbgvudfnirmzx.aspx |
|
| |
wininet.dll |
|
| |
wlog.exe |
| ||
wpeqawzp.sys |
|
| |
y3lcx345.dll |
|
| |
cero.exe |
| SHA256: 3a8b7c1fe9bd9451c0a51e4122605efc98e7e4e13ed117139a13e4749e211ed0 | |
Correos electrónicos | ||
Cuba-supp [.] com | admin@cuba-supp[.]com | |
Soporte de cifrado [.] com | admin@encryption-support[.]com | |
Correo.supports24 [.] red | bandeja de entrada@mail.supports24[.]net | |
193.23.244[.]244 | 144.172.83[.]13 | 216.45.55[.]30 |
94.103.9[.]79 | 149.255.35[.]131 | 217.79.43[.]148 |
192.137.101[.]46 | 154.35.175[.]225 | 222.252.53[.]33 |
92.222.172[.]39 | 159.203.70[.]39 | 23.227.198[.]246 |
92.222.172[.]172 | 171.25.193[.]9 | 31.184.192[.]44 |
10.13.102[.]1 | 185.153.199[.]169 | 37.120.247[.]39 |
10.13.102[.]58 | 192.137.100[.]96 | 37.44.253[.]21 |
10.133.78[.]41 | 192.137.100[.]98 | 38.108.119[.]121 |
10.14.100[.]20 | 192.137.101[.]205 | 45.164.21[.]13 |
103.114.163[.]197 | 193.34.167[.]17 | 45.32.229[.]66 |
103.27.203[.]197 | 194.109.206[.]212 | 45.86.162[.]34 |
104.217.8[.]100 | 195.54.160[.]149 | 45.91.83[.]176 |
107.189.10[.]143 | 199.58.81[.]140 | 64.52.169[.]174 |
108.170.31[.]115 | 204.13.164[.]118 | 64.235.39[.]82 |
128.31.0[.]34 | 209.76.253[.]84 | 79.141.169[.]220 |
128.31.0[.]39 | 212.192.241[.]230 | 84.17.52[.]135 |
131.188.40[.]189 | 213.32.39[.]43 | 86.59.21[.]38 |
141.98.87[.]124 | 216.45.55[.]3 |
|
