Kaspersky ha dado a conocer detalles de su
investigación sobre las actividades del famoso grupo de ransomware conocido
como ‘Cuba’. Recientemente, esta pandilla de ciberdelincuentes ha desplegado
malware que ha evadido detección avanzada y ha apuntado a organizaciones en
todo el mundo, dejando un rastro de empresas comprometidas en diversas
industrias.

Kaspersky detectó por primera vez las
ofensivas de este grupo en diciembre de 2020. Como ocurre con la mayoría de los
ciberextorsionadores, los atacantes detrás de este grupo cifran los archivos de
las víctimas y exigen un rescate a cambio de una clave de descifrado. La
pandilla utiliza tácticas y técnicas complejas para penetrar las redes de las
víctimas, como la explotación de vulnerabilidades de software y la ingeniería
social. Se sabe que utilizan conexiones de escritorio remoto (RDP)
comprometidas para el acceso inicial.

Cuba es una cepa de ransomware de un solo
archivo, difícil de detectar debido a su funcionamiento sin bibliotecas
adicionales. Aunque los orígenes exactos de la pandilla y las identidades de
sus miembros se desconocen, el archivo del PDB hace referencia a la carpeta
“komar”, una palabra rusa para “mosquito”, lo que indica la
posible presencia de miembros de habla rusa dentro del grupo. Cuba es conocido
por su amplio alcance y se dirige a sectores de gobierno, comercio minorista,
finanzas, logística, y manufactura, con la mayoría de las víctimas detectadas
en los Estados Unidos, Canadá, Europa, Asia y Australia. En el caso de América
Latina, Chile y Colombia están entre los países más afectados.

Distribución geográfica del grupo Cuba

El grupo emplea una combinación de
herramientas públicas y propietarias, actualizando periódicamente su conjunto
de herramientas y utilizando tácticas como BYOVD (Bring Your Own Vulnerable
Driver): un tipo de ataque en el que el actor de amenaza utiliza controladores
firmados legítimos que se sabe contienen un agujero de seguridad para ejecutar
acciones maliciosas dentro del sistema. De ser exitosos, el atacante podrá
explotar las vulnerabilidades en el código del controlador para ejecutar
cualquier acción maliciosa a nivel del kernel, otorgándole acceso a estructuras
de seguridad críticas y la capacidad de modificarlas. Tales modificaciones
hacen que el sistema sea vulnerable a ataques que utilizan la escalada de
privilegios, la desactivación de los servicios de seguridad del sistema
operativo y la lectura y escritura arbitraria.

La investigación también dio a conocer que
una característica distintiva de la operación del grupo es la alteración de las
marcas de tiempo de compilación para confundir a los investigadores. Por
ejemplo, algunas muestras encontradas en 2020 tenían una fecha de compilación
del 4 de junio de 2020, mientras que las marcas de tiempo en versiones más
nuevas indicaban que se originaron el 19 de junio de 1992. Su enfoque único no
solo implica el cifrado de datos, sino también la adaptación de ataques para
extraer información sensible, como documentos financieros, registros bancarios,
cuentas de empresas y código fuente. Las empresas de desarrollo de software
están especialmente en riesgo. A pesar de haber estado en el centro de atención
durante algún tiempo, este grupo sigue siendo dinámico y constantemente
perfecciona sus técnicas.