{"id":2591,"date":"2023-10-13T08:57:35","date_gmt":"2023-10-13T14:57:35","guid":{"rendered":"https:\/\/blogs.uo.edu.cu\/seginf\/?p=2591"},"modified":"2023-10-13T08:58:29","modified_gmt":"2023-10-13T14:58:29","slug":"el-ransomware-cuba-despliega-nuevo-malware-y-apunta-a-organizaciones-de-todo-el-mundo","status":"publish","type":"post","link":"https:\/\/blogs.uo.edu.cu\/seginf\/?p=2591","title":{"rendered":"El ransomware \u2018Cuba\u2019 despliega nuevo malware y apunta a organizaciones de todo el mundo."},"content":{"rendered":"
\"Ransomware\"

3D rendering Glowing text Ransomware attack on Computer Chipset. spyware, malware, virus Trojan, hacker attack Concept<\/p><\/div>\n

Este art\u00edculo publicado por la prestigiosa firma Kaspersky sobre la aparici\u00f3n de una ransomware nombrado \u00abCuba\u00bb que ataca el sector bancario, entre otros. La peculiaridad del nombre del c\u00f3digo maligno movi\u00f3 a compartir este art\u00edculo, que me servir\u00e1 para pedir disculpas por alejarme varios d\u00edas de las publicaciones en el blog.<\/p>\n

<\/p>\n

11 de septiembre de 2023<\/p>\n

Kaspersky ofrece detalles de su investigaci\u00f3n sobre este grupo, conocido por su amplio alcance y enfoque en los sectores de gobierno, comercio minorista, finanzas, log\u00edstica y manufactura.<\/p>\n

Kaspersky ha dado a conocer detalles de su investigaci\u00f3n sobre las actividades del famoso grupo de ransomware conocido como \u2018Cuba\u2019. Recientemente, esta pandilla de ciberdelincuentes ha desplegado malware que ha evadido detecci\u00f3n avanzada y ha apuntado a organizaciones en todo el mundo, dejando un rastro de empresas comprometidas en diversas industrias.<\/p>\n

Kaspersky detect\u00f3 por primera vez las ofensivas de este grupo en diciembre de 2020. Como ocurre con la mayor\u00eda de los ciberextorsionadores, los atacantes detr\u00e1s de este grupo cifran los archivos de las v\u00edctimas y exigen un rescate a cambio de una clave de descifrado. La pandilla utiliza t\u00e1cticas y t\u00e9cnicas complejas para penetrar las redes de las v\u00edctimas, como la explotaci\u00f3n de vulnerabilidades de software y la ingenier\u00eda social. Se sabe que utilizan conexiones de escritorio remoto (RDP) comprometidas para el acceso inicial.<\/p>\n

Cuba es una cepa de ransomware de un solo archivo, dif\u00edcil de detectar debido a su funcionamiento sin bibliotecas adicionales. Aunque los or\u00edgenes exactos de la pandilla y las identidades de sus miembros se desconocen, el archivo del PDB hace referencia a la carpeta \u00abkomar\u00bb, una palabra rusa para \u00abmosquito\u00bb, lo que indica la posible presencia de miembros de habla rusa dentro del grupo. Cuba es conocido por su amplio alcance y se dirige a sectores de gobierno, comercio minorista, finanzas, log\u00edstica, y manufactura, con la mayor\u00eda de v\u00edctimas detectadas en los Estados Unidos, Canad\u00e1, Europa, Asia y Australia. En el caso de Am\u00e9rica Latina, Chile y Colombia est\u00e1n entre los pa\u00edses m\u00e1s afectados.<\/p>\n

El grupo emplea una combinaci\u00f3n de herramientas p\u00fablicas y propietarias, actualizando peri\u00f3dicamente su conjunto de herramientas y utilizando t\u00e1cticas como BYOVD (Bring Your Own Vulnerable Driver): un tipo de ataque en el que el actor de amenaza utiliza controladores firmados leg\u00edtimos que se sabe contienen un agujero de seguridad para ejecutar acciones maliciosas dentro del sistema. De ser exitosos, el atacante podr\u00e1 explotar las vulnerabilidades en el c\u00f3digo del controlador para ejecutar cualquier acci\u00f3n maliciosa a nivel del kernel, otorg\u00e1ndole acceso a estructuras de seguridad cr\u00edticas y la capacidad de modificarlas. Tales modificaciones hacen que el sistema sea vulnerable a ataques que utilizan la escalada de privilegios, la desactivaci\u00f3n de los servicios de seguridad del sistema operativo y la lectura y escritura arbitraria.<\/p>\n

La investigaci\u00f3n tambi\u00e9n dio a conocer que una caracter\u00edstica distintiva de la operaci\u00f3n del grupo es la alteraci\u00f3n de las marcas de tiempo de compilaci\u00f3n para confundir a los investigadores. Por ejemplo, algunas muestras encontradas en 2020 ten\u00edan una fecha de compilaci\u00f3n del 4 de junio de 2020, mientras que las marcas de tiempo en versiones m\u00e1s nuevas indicaban que se originaron el 19 de junio de 1992. Su enfoque \u00fanico no solo implica el cifrado de datos, sino tambi\u00e9n la adaptaci\u00f3n de ataques para extraer informaci\u00f3n sensible, como documentos financieros, registros bancarios, cuentas de empresas y c\u00f3digo fuente. Las empresas de desarrollo de software est\u00e1n especialmente en riesgo. A pesar de haber estado en el centro de atenci\u00f3n durante alg\u00fan tiempo, este grupo sigue siendo din\u00e1mico y constantemente perfecciona sus t\u00e9cnicas.<\/p>\n

\u00abNuestros hallazgos m\u00e1s recientes destacan la importancia de tener acceso a los \u00faltimos informes e inteligencia de amenazas. A medida que grupos de ransomware como Cuba evolucionan y perfeccionan sus t\u00e1cticas, mantenerse al tanto de las tendencias es crucial para mitigar eficazmente posibles ataques. Con el panorama siempre cambiante de las ciberamenazas, el conocimiento es la defensa definitiva contra los ciberdelincuentes emergentes\u00bb, afirma Gleb Ivanov, experto en ciberseguridad de Kaspersky.<\/p>\n

Como otros grupos similares, Cuba es un equipo de ransomware como servicio (RaaS) que permite a sus socios utilizar el ransomware y la infraestructura asociada a cambio de una parte del rescate que cobren. Los pagos entrantes y salientes en las carteras bitcoin, cuyos identificadores proporcionan los piratas inform\u00e1ticos en sus notas de rescate, superan un total de 3,600 BTC, o m\u00e1s de $103,000,000 de d\u00f3lares convertidos a raz\u00f3n de $28.624 d\u00f3lares por 1 BTC. La pandilla posee numerosas billeteras, transfiere fondos constantemente entre ellas y utiliza mezcladores de bitcoins: servicios que env\u00edan bitcoins a trav\u00e9s de una serie de transacciones an\u00f3nimas para hacer que el origen de los fondos sea m\u00e1s dif\u00edcil de rastrear.<\/p>\n

Para proteger su organizaci\u00f3n contra el ransomware, Kaspersky recomienda seguir estas mejores pr\u00e1cticas:<\/p>\n

– Mantener siempre actualizado el software en todos los dispositivos utilizados para evitar que los atacantes aprovechen vulnerabilidades e infiltren su red.<\/p>\n

– Enfocar la estrategia de defensa en la detecci\u00f3n de movimientos laterales y la exfiltraci\u00f3n de datos a Internet. Prestar especial atenci\u00f3n al tr\u00e1fico saliente para detectar las conexiones de ciberdelincuentes a la red. Configurar copias de seguridad fuera de l\u00ednea que los intrusos no puedan manipular y asegurar el acceso a ellas r\u00e1pidamente cuando sea necesario o en caso de una emergencia.<\/p>\n

– Habilitar la protecci\u00f3n contra el ransomware en todos los endpoints. La herramienta gratuita Kaspersky Anti-Ransomware Tool for Business protege computadoras y servidores contra el ransomware y otros tipos de malware, previene exploits y es compatible con soluciones de seguridad ya instaladas.<\/p>\n

– Instalar soluciones anti-APT (Amenazas Persistentes Avanzadas) y EDR (Detecci\u00f3n y Respuesta de Endpoints) que permitan descubrir y detectar amenazas avanzadas, investigar y tomar medidas de manera oportuna ante incidentes. Proporcionar al equipo de Operaciones de Seguridad (SOC) acceso a la \u00faltima inteligencia de amenazas y capacitarlos regularmente con formaci\u00f3n profesional. Todo esto est\u00e1 disponible en Kaspersky Expert Security.<\/p>\n

– Brindar al equipo de SOC acceso a la \u00faltima inteligencia de amenazas. El Portal de Inteligencia de Amenazas de Kaspersky es un punto \u00fanico de acceso para la inteligencia de amenazas de Kaspersky, el cual proporciona datos e informaci\u00f3n sobre ciberataques recopilados por nuestro equipo durante m\u00e1s de 20 a\u00f1os. Para ayudar a las empresas a habilitar defensas efectivas en estos tiempos turbulentos, Kaspersky ha anunciado el acceso gratuito a informaci\u00f3n independiente, continuamente actualizada y de origen global sobre ciberataques y amenazas en curso.<\/p>\n

El reporte completo est\u00e1 disponible en Securelist<\/a>.<\/p>\n

Im\u00e1genes Relacionadas:<\/h3>","protected":false},"excerpt":{"rendered":"

Este art\u00edculo publicado por la prestigiosa firma Kaspersky sobre la aparici\u00f3n de una ransomware nombrado \u00abCuba\u00bb que ataca el sector bancario, entre otros. La peculiaridad del nombre del c\u00f3digo maligno movi\u00f3 a compartir este art\u00edculo, que me servir\u00e1 para pedir … Sigue leyendo →<\/span><\/a><\/p>\n","protected":false},"author":3,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"ngg_post_thumbnail":0,"footnotes":""},"categories":[2,49,67,6,40],"tags":[],"class_list":["post-2591","post","type-post","status-publish","format-standard","hentry","category-amenazas","category-ciberataque","category-ciberseguridad","category-codigos-malignos","category-vulnerabilidades"],"_links":{"self":[{"href":"https:\/\/blogs.uo.edu.cu\/seginf\/index.php?rest_route=\/wp\/v2\/posts\/2591","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/blogs.uo.edu.cu\/seginf\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blogs.uo.edu.cu\/seginf\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blogs.uo.edu.cu\/seginf\/index.php?rest_route=\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/blogs.uo.edu.cu\/seginf\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=2591"}],"version-history":[{"count":2,"href":"https:\/\/blogs.uo.edu.cu\/seginf\/index.php?rest_route=\/wp\/v2\/posts\/2591\/revisions"}],"predecessor-version":[{"id":2597,"href":"https:\/\/blogs.uo.edu.cu\/seginf\/index.php?rest_route=\/wp\/v2\/posts\/2591\/revisions\/2597"}],"wp:attachment":[{"href":"https:\/\/blogs.uo.edu.cu\/seginf\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=2591"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blogs.uo.edu.cu\/seginf\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=2591"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blogs.uo.edu.cu\/seginf\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=2591"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}