Μια νέα έκδοση του Cuba ransomware εντοπίστηκε σε πρόσφατες επιθέσεις.
The Cuba ransomware ήταν περισσότερο ενεργό κατά τη διάρκεια του 2021, όταν οι χειριστές του συνεργάστηκαν με τη συμμορία πίσω από το Hancitor malware, για να πετύχουν την αρχική πρόσβαση στα συστήματα των θυμάτων. Μέχρι το τέλος του έτους, το ransomware είχε παραβιάσει 49 οργανισμούς των Ηνωμένων Πολιτειών που ανήκαν στις κρίσιμες υποδομές.
See also: Emotet: Κλέβει στοιχεία πιστωτικών καρτών από χρήστες του Chrome
Ωστόσο, η νέα χρονιά βρήκε το ransomware λιγότερο δραστήριο, με λίγα νέα victims. Ερευνητές της Mandiant, όμως, εντόπισαν κάποια σημάδια που δείχνουν ότι η ομάδα πίσω από το Cuba ransomware είναι ακόμα ενεργή.
Επίσης, τώρα, αναλυτές της trend micro αναφέρουν ότι παρατηρείται μια αύξηση των μολύνσεων που σχετίζεται με το Cuba. Οι attacks είχαν ξεκινήσει από τον Μάρτιο και συνεχίστηκαν δυναμικά μέχρι τον Απρίλιο του 2022.
Οι hackers πίσω από το Cuba ransomware είχαν καταγράψει τρία victims τον Απρίλιο και ένα τον Μάιο στο Tor site τους. Ωστόσο, οι attacks που οδήγησαν στη δημοσίευση αυτών των αρχείων πιθανότατα πραγματοποιήθηκαν νωρίτερα.
Ο αριθμός των θυμάτων δεν είναι μεγάλος, αλλά αξίζει να σημειωθεί ότι σε σύγκριση με άλλα ransomware, το “Cuba” είναι γενικά πιο επιλεκτικό, χτυπώντας μόνο μεγάλους οργανισμούς.
See also: Black Basta ransomware: Linux version targets VMware ESXi servers
Cuba ransomware: Εντοπίστηκε νέα έκδοση
Στα τέλη Απριλίου, ερευνητές της Trend Micro εντόπισαν μια νέα έκδοση που περιελάμβανε μικρές προσθήκες και αλλαγές, κάνοντας το ransomware ακόμα πιο επικίνδυνο. Το πιο ανησυχητικό, όμως, είναι ότι αυτή η νέα έκδοση δείχνει ότι η επιχείρηση είναι ακόμα ζωντανή και αναπτύσσει ενεργά το encryptor της.
Οι ενημερώσεις δεν έχουν αλλάξει τις βασικές λειτουργίες του Cuba ransomware, αλλά ενδέχεται να έχουν φέρει κάποιες βελτιώσεις ως προς την εκτέλεσή του.
The malware τερματίζει πλέον περισσότερες διαδικασίες πριν από την κρυπτογράφηση, συμπεριλαμβανομένων των Outlook, MS Exchange και MySQL. Οι κρυπτογραφητές Ransomware τερματίζουν τις services για να αποτρέψουν αυτές τις Applications από το κλείδωμα των αρχείων και την αποτροπή της κρυπτογράφησης τους.
Επιπλέον, φαίνεται ότι το exclusion list έχει επεκταθεί με περισσότερα directories και τύπους αρχείων που πρέπει να παραβλεφθούν κατά την κρυπτογράφηση. Αυτό αποτρέπει execution loops που μπορεί να οδηγήσουν σε κατεστραμμένα αρχεία που δεν μπορούν να αποκατασταθούν. Αν τα αρχεία είναι κατεστραμμένα, τα θύματα δεν θα έχουν λόγο να πληρώσουν για αποκρυπτογράφηση.
See also: Ransomware attacks: Hackers are secretly blackmailing victims!
Τέλος, στη νέα έκδοση του Cuba ransomware, η συμμορία έχει κάνει κάποιες αλλαγές στα σημειώματα λύτρων, προσθέτοντας quTox για live υποστήριξη θυμάτων. Επίσης, τα σημειώματα αναφέρουν ότι οι επιτιθέμενοι θα δημοσιεύσουν όλα τα κλεμμένα data στον ιστότοπο Tor, εάν οι απαιτήσεις τους δεν ικανοποιηθούν εντός τριών ημερών.
Η νέα έκδοση του Cuba ransomware δείχνει ότι η ομάδα θα συνεχίσει να αποτελεί απειλή για τους οργανισμούς τους επόμενους μήνες, κυρίως αυτούς που βρίσκονται στη Βόρεια America.
Προς το παρόν δεν υπάρχει κάποιο δωρεάν εργαλείο αποκρυπτογράφησης για το Cuba ransomware, επομένως οι οργανισμοί θα πρέπει να είναι προσεκτικοί και να εφαρμόζουν τις βέλτιστες πρακτικές Security έναντι των ransomware, για να προστατευτούν.
Source : www.bleepingcomputer.com
