Die Kuba-Ransomware-Bande erpresste zwischen Dezember 2021 und August 2022 Lösegeldzahlungen in Höhe von mehr als 60 Millionen US-Dollar von Opfern. eine gemeinsame Beratung von CISA und dem FBI hat davor gewarnt.
Die neueste Empfehlung ist ein Follow-up zu a Flash-Alarm veröffentlicht vom FBI im Dezember 2021, aus dem hervorgeht, dass die Bande nach Angriffen auf mehr als 49 Unternehmen in fünf kritischen Infrastruktursektoren in den Vereinigten Staaten Lösegeldzahlungen in Höhe von fast 44 Millionen US-Dollar verdient hatte. Seitdem hat die kubanische Ransomware-Bande weitere 60 Millionen US-Dollar aus Angriffen auf 100 Organisationen weltweit eingenommen, fast die Hälfte der 145 Millionen US-Dollar, die sie an Lösegeldzahlungen von diesen Opfern forderte.
„Seit der Veröffentlichung des FBI-Flash vom Dezember 2021 hat sich die Zahl der von Cuba-Ransomware kompromittierten US-Einheiten verdoppelt, wobei die geforderten und gezahlten Lösegelder zunehmen“, sagten die beiden Bundesbehörden am Donnerstag.
Kubanische Ransomware-Akteure, die seit 2019 aktiv sind, zielen weiterhin auf US-Unternehmen in kritischen Infrastrukturen ab, darunter Finanzdienstleistungen, Regierungseinrichtungen, Gesundheitswesen und öffentliche Gesundheit, kritische Fertigung und Informationstechnologie.
Im August dieses Jahres wurde die Bande mit einem Ransomware-Angriff auf den Nationalstaat Montenegro in Verbindung gebracht, der auf Regierungssysteme und andere kritische Infrastrukturen und Versorgungsunternehmen abzielte, darunter Strom-, Wasser- und Transportsysteme. Zum Zeitpunkt des Angriffs behauptete die Cuba-Ransomware-Bande, sie habe „Finanzdokumente, Korrespondenz mit Bankangestellten, Kontobewegungen, Bilanzen, Steuerunterlagen, Entschädigungen“ erhalten [and] Quellcode“ vom montenegrinischen Parlament.
Kuba wurde auch mit einem Verstoß des kalifornischen Kraftfahrzeugministeriums im April dieses Jahres in Verbindung gebracht, bei dem die Angreifer kalifornische Fahrzeugregistrierungsunterlagen kompromittierten, die Namen, Adressen, Nummernschilder und Fahrzeugidentifikationsnummern enthielten.
FBI und CISA fügten hinzu, dass die Ransomware-Bande ihre Taktiken, Techniken und Verfahren seit Anfang des Jahres geändert und mit der RomCom-Malware, einem benutzerdefinierten Fernzugriffs-Trojaner für Befehl und Kontrolle, und der Industrial Spy-Ransomware in Verbindung gebracht wurde.
Der Ratgeber stellt fest, dass die Gruppe – das Cybersicherheitsunternehmen Profero zuvor verlinkt an russischsprachige Hacker – in der Regel erpresst er Opfer, indem er droht, gestohlene Daten preiszugeben. Während diese Daten normalerweise auf Kubas Dark-Web-Leak-Site durchgesickert waren, begann sie im Mai dieses Jahres mit dem Verkauf gestohlener Daten auf dem Online-Markt von Industrial Spy.
CISA und das FBI fordern gefährdete Organisationen dringend auf, das Patchen bekannter ausgenutzter Schwachstellen zu priorisieren, Mitarbeiter darin zu schulen, Phishing-Angriffe zu erkennen und zu melden und eine Phishing-resistente Multi-Faktor-Authentifizierung zu aktivieren und durchzusetzen.
Die Veröffentlichung von CISA und dem FBI-Gutachten erfolgt, während die kubanische Ransomware-Bande weiterhin neue Opfer auf ihrer Website auflistet. Zu den jüngsten Zugängen gehören Generator Power, ein in Großbritannien ansässiges Generatorvermietungsunternehmen, und die deutsche Medienbeobachtungsfirma Landau Media.