Riemerge il ransomware Cuba, e fa vittime anche in Italia
I ricercatori della Unit 42 di Palo Alto hanno scoperto che il ransomware Cuba, scoperto nel 2019, ha ricominciato a mietere vittime. 27 le aziende colpita da luglio 2022, distribuite fra USA, Italia, Canada e Australia
di Alberto Falchi pubblicata il 25 Agosto 2022, alle 12:31 nel canale SecurityPalo Alto Networks
Cuba è una famiglia di ransomware osservata per la prima volta nel 2019 che nel 2022 è riemersa. I gruppi che la sfruttano hanno col tempo affinato le loro tattiche, introducendo la doppia estorsione e un sito di leak, in cui è presente anche la sezione per il pagamento dei riscatti. A partire da luglio 2022, i ricercatori di Palo Alto Networks hanno rilevato 27 attacchi ad altrettante aziende (incluse alcune italiane) ma secondo gli analisti il numero di vittime è superiore. Secondo l'FBI, il gruppo di criminali dietro a questa minaccia ha già ricavato quasi 44 milioni dai riscatti.
Il ransomware Cuba torna a colpire
Secondo la Unit 42 di Palo Alto, dietro al ransomware Cuba c'è un gruppo chiamato Tropical Scorpius, che dal 2019 ha evoluto e migliorato le sue tecniche, a partire dall'introduzione di un sito dedicato ai leak, probabilmente realizzato dopo aver preso "spunto" da altri gruppi criminali. In questo sito vengono esposti i dati delle aziende che non hanno ceduto al ricatto, che sono qui venduti al miglior offerente. In totale, dal 2019 sono state circa 60 le realtà colpite da questo ransomware, 27 delle quali solo a partire da luglio 2022. Il sospetto, però, è che le aziende colpite siano di più, con alcune che hanno scelto di non rendere pubblica la violazione. La maggior parte delle imprese colpite da Cuba (il 66%) sono realtà statunitensi, e le rimanenti sono distribuite fra Canada, Australia e Italia.
Sotto il profilo tecnico, è interessante notare come Cuba cifra i file in maniera differente a seconda della loro dimensione. Se il file è inferiore ai 2 MB, viene cifrato totalmente mentre quelli più grandi vengono criptati in blocchi di 1 MB. Cuba non cifra indiscriminatamente tutti i file ma evita quelli presenti in alcune cartelle (come \Windows, \boot, \users\default) e ignora file con le seguenti estensioni: .exe, .dll .sys .ini .lnk .vbm .cuba.
Come difendersi da Cuba
I ricercatori di Unit 42 di Palo Alto suggeriscono alle imprese di mettere in piedi sistemi di log e girare queste informazioni alla suite SIEM così da incrementare le possibilità di riconoscere quanto prima un possibile tentativo di attacco.
Un ulteriore suggerimento è quello di effettuare analisi della memoria tramite soluzioni XDR/EDR in grado di individuare tentativi di evasione o di movimento laterale da parte degli attaccanti.
Recensione Zenfone 11 Ultra: il flagship ASUS ritorna a essere un 'padellone'
Appian: non solo low code. La missione è l’ottimizzazione dei processi con l'IA
Lenovo ThinkVision 3D 27, la steroscopia senza occhialini 
Sta per succedere! La prima gara a guida autonoma sarà il 27 aprile: come vederla online
Parthenope: un nuovo RPG investigativo tutto italiano e ambientato a Napoli
Urbanista Malibu: ecco come va la cassa Bluetooth con ricarica solare
Gas Station Simulator è costato 110 mila euro e ha guadagnato più di 10 milioni su Steam
AOC Graphic Pro U3, tre nuovi monitor per i professionisti creativi
Wacom Movink: per la prima volta il display interattivo ha uno schermo OLED
HPE Aruba presenta i nuovi access point serie 730: oltre il Wi-Fi 7, arriva anche l'IoT
Lamborghini presenta Urus SE, prima versione ibrida plug-in del Super SUV
Scuderia Ferrari e HP insieme: ufficiale il nuovo accordo per la Formula 1
Snapdragon X Plus, un nuovo SoC per i notebook Windows
L'iPad 10,9'' 64 GB è sceso a meno di 400 euro. E occhio anche al modello con 256 GB
Steam: basta ai furbetti dell'accesso anticipato, niente rimborsi dopo due ore di gioco in ogni caso
Motorola Edge 40 Neo con fotocamera da 50 MP OIS e display OLED a 291 euro su Amazon. E occhio alle altre offerte Motorola
Arriva Kasperksy Next, la nuova gamma di soluzioni di sicurezza per le imprese 
4 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - infoin hiamboli, quindi li hanno comprati da una società terza (sempre a loro collegata) poi si sono dati appuntamento sotto il cavalcavia, ma non si è pretesentato nessuno, per lo scambio contanti/chiave decrittazione, avendo già intascato il malloppo
https://www.ic3.gov/Media/News/2021/211203-2.pdf
Bitcoin Wallet Receiving Ransom Payments, as of Mid-October 2021
bc1qvpk8ksl3my6kjezjss9p28cqj4dmpmmjx5yl3y
bc1qhtwfcysclc7pck2y3vmjtpzkaezhcm6perc99x
bc1qft3s53ur5uq5ru6sl3zyr247dpr55mnggwucd3
bc1qp7h9fszlqxjwyfhv0upparnsgx56x7v7wfx4x7
Hasta la crypto siempre!
ps magari potrà parere scontato ma credo che l'articolo dovesse specificare che i 44 milioni sono in dollari americani...
I ricercatori della Unit 42 di Palo Alto hanno scoperto che il ransomware Cuba, scoperto nel 2019, ha ricominciato a mietere vittime. 27 le aziende colpita da luglio 2022, distribuite fra USA, Italia, Canada e Australia
Click sul link per visualizzare la notizia.
Bello!
Sarà sicuramente la variante Centaurus-Cuba
Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".