Ransomware Cuba, propagado en América Latina

Recientemente se ha encontrado que el ransomware CUBA o Fidel está cifrando archivos en varias empresas de Latinoamérica y se propaga por archivos con macros adjuntos de correo electrónico, escritorios remotos y anuncios maliciosos.

Previo al cifrado de sus datos, los ciberdelincuentes exfiltran todos sus archivos hacia servidores de almacenamiento, a fin de tener un medio de extorsión; comprometiendo así la confidencialidad de sus activos. Algunas de las variantes que están trabajando con esta nueva táctica son: DopplePaymer, Sodinokibi, ProLock, Maze, Mespinoza, Netwalker, CLoP, Nephilim y el reciente ransomware CUBA.

Al parecer este malware estaría asociado a la familia Buran/Zeppellin, desplegado vía RIG Exploit Kit (CVE-2018-8174 / CVE-2018-4878), en correos de Phishing con adjuntos infectados y Ataques a RDP.

CUBA cifra todo tipo de documentos de MS Office, OpenOffice, PDF, archivos de texto, bases de datos, fotos, música, videos, archivos de imágenes, archivos, etc. Además cambia los nombres de los archivos agregando la extensión ".cuba" y crea el archivo de texto "!!FAQ for Decryption!!.txt", que es la "nota de rescate.

 

Cuba borra todas las instantáneas de volumen del sistema operativo Windows con la ayuda del siguiente comando:

vssadmin.exe delete shadows /all /Quiet

Los correos electrónicos de contacto con los creadores del malware son iracomp2@protonmail[.]ch, iracomp4@protonmail[.]ch y happy_sysadmin@protonmail[.]ch. Después del contacto inicial, supuestamente se recibe información sobre una una herramienta de descifrado y cómo pagarla.

Las nuevas campañas de ransomware evidenciadas en 2020 tienen una nueva forma de comprometer nuestra información y así asegurar el pago. Estas variantes amenazan con la divulgación de los datos exfiltrados de sus víctimas como parte estándar de todos sus ataques, contando en muchos casos con sitios web particulares para dichas filtraciones.

Esta variante, asociada a la familia de ransomwares Buran y Zeppellin, ha sido evidenciada paulatinamente en algunas organizaciones a nivel latinoamericano, encendiendo las alarmas de diversas empresas de ciberseguridad.

Las campañas activas se están propagando a través de dos vectores de ataque:
Explotando vulnerabilidades del protocolo RDP.
Archivos adjuntos de ofimática con macros habilitadas, en correos electrónicos que utilizan técnicas de engaño como la ingeniería social con phishing y spear-phishing.

Hasta el momento no hay herramientas gratuitas que puedan descifrar archivos cifrados por este ransomware.

IOCs

• https://www.virustotal.com/gui/file/78ce13d09d828fc8b06cf55f8247bac07379d0c8b8c8b1a6996c29163fa4b659/detection
• https://www.virustotal.com/gui/file/b952e63fe46b25ee4ecb725373bddd1b1776fbc4ba73aee7b7b384a3b0f7f71e/detection
  
• https://www.vmray.com/analyses/78ce13d09d82/report/yara.html
• Instrucciones para remover CUBA.
  

Marc Rivero López (@Seifreed) ha creado una regla de Yara para la detección de Cuba.

Fuente: CyberSecurityPlan

Suscríbete a nuestro Boletín