Μια νέα έκδοση του Cuba ransomware εντοπίστηκε σε πρόσφατες επιθέσεις.
Το Cuba ransomware ήταν περισσότερο ενεργό κατά τη διάρκεια του 2021, όταν οι χειριστές του συνεργάστηκαν με τη συμμορία πίσω από το Hancitor malware, για να πετύχουν την αρχική πρόσβαση στα συστήματα των θυμάτων. Μέχρι το τέλος του έτους, το ransomware είχε παραβιάσει 49 οργανισμούς των Ηνωμένων Πολιτειών που ανήκαν στις κρίσιμες υποδομές.
Δείτε επίσης: Emotet: Κλέβει στοιχεία πιστωτικών καρτών από χρήστες του Chrome
Ωστόσο, η νέα χρονιά βρήκε το ransomware λιγότερο δραστήριο, με λίγα νέα θύματα. Ερευνητές της Mandiant, όμως, εντόπισαν κάποια σημάδια που δείχνουν ότι η ομάδα πίσω από το Cuba ransomware είναι ακόμα ενεργή.
Επίσης, τώρα, αναλυτές της Trend Micro αναφέρουν ότι παρατηρείται μια αύξηση των μολύνσεων που σχετίζεται με το Cuba. Οι επιθέσεις είχαν ξεκινήσει από τον Μάρτιο και συνεχίστηκαν δυναμικά μέχρι τον Απρίλιο του 2022.
Οι hackers πίσω από το Cuba ransomware είχαν καταγράψει τρία θύματα τον Απρίλιο και ένα τον Μάιο στο Tor site τους. Ωστόσο, οι επιθέσεις που οδήγησαν στη δημοσίευση αυτών των αρχείων πιθανότατα πραγματοποιήθηκαν νωρίτερα.
Ο αριθμός των θυμάτων δεν είναι μεγάλος, αλλά αξίζει να σημειωθεί ότι σε σύγκριση με άλλα ransomware, το “Cuba” είναι γενικά πιο επιλεκτικό, χτυπώντας μόνο μεγάλους οργανισμούς.
Δείτε επίσης: Black Basta ransomware: Η έκδοση Linux στοχεύει διακομιστές VMware ESXi
Cuba ransomware: Εντοπίστηκε νέα έκδοση
Στα τέλη Απριλίου, ερευνητές της Trend Micro εντόπισαν μια νέα έκδοση που περιελάμβανε μικρές προσθήκες και αλλαγές, κάνοντας το ransomware ακόμα πιο επικίνδυνο. Το πιο ανησυχητικό, όμως, είναι ότι αυτή η νέα έκδοση δείχνει ότι η επιχείρηση είναι ακόμα ζωντανή και αναπτύσσει ενεργά το encryptor της.
Οι ενημερώσεις δεν έχουν αλλάξει τις βασικές λειτουργίες του Cuba ransomware, αλλά ενδέχεται να έχουν φέρει κάποιες βελτιώσεις ως προς την εκτέλεσή του.
Το κακόβουλο λογισμικό τερματίζει πλέον περισσότερες διαδικασίες πριν από την κρυπτογράφηση, συμπεριλαμβανομένων των Outlook, MS Exchange και MySQL. Οι κρυπτογραφητές Ransomware τερματίζουν τις υπηρεσίες για να αποτρέψουν αυτές τις εφαρμογές από το κλείδωμα των αρχείων και την αποτροπή της κρυπτογράφησης τους.
Επιπλέον, φαίνεται ότι το exclusion list έχει επεκταθεί με περισσότερα directories και τύπους αρχείων που πρέπει να παραβλεφθούν κατά την κρυπτογράφηση. Αυτό αποτρέπει execution loops που μπορεί να οδηγήσουν σε κατεστραμμένα αρχεία που δεν μπορούν να αποκατασταθούν. Αν τα αρχεία είναι κατεστραμμένα, τα θύματα δεν θα έχουν λόγο να πληρώσουν για αποκρυπτογράφηση.
Δείτε επίσης: Ransomware επιθέσεις: Οι hackers εκβιάζουν με μυστικότητα τα θύματα!
Τέλος, στη νέα έκδοση του Cuba ransomware, η συμμορία έχει κάνει κάποιες αλλαγές στα σημειώματα λύτρων, προσθέτοντας quTox για live υποστήριξη θυμάτων. Επίσης, τα σημειώματα αναφέρουν ότι οι επιτιθέμενοι θα δημοσιεύσουν όλα τα κλεμμένα δεδομένα στον ιστότοπο Tor, εάν οι απαιτήσεις τους δεν ικανοποιηθούν εντός τριών ημερών.
Η νέα έκδοση του Cuba ransomware δείχνει ότι η ομάδα θα συνεχίσει να αποτελεί απειλή για τους οργανισμούς τους επόμενους μήνες, κυρίως αυτούς που βρίσκονται στη Βόρεια Αμερική.
Προς το παρόν δεν υπάρχει κάποιο δωρεάν εργαλείο αποκρυπτογράφησης για το Cuba ransomware, επομένως οι οργανισμοί θα πρέπει να είναι προσεκτικοί και να εφαρμόζουν τις βέλτιστες πρακτικές ασφαλείας έναντι των ransomware, για να προστατευτούν.
Πηγή: www.bleepingcomputer.com