Riemerge il ransomware Cuba, e fa vittime anche in Italia
di Alberto Falchi pubblicata il 25 Agosto 2022, alle 12:31 nel canale Security
I ricercatori della Unit 42 di Palo Alto hanno scoperto che il ransomware Cuba, scoperto nel 2019, ha ricominciato a mietere vittime. 27 le aziende colpita da luglio 2022, distribuite fra USA, Italia, Canada e Australia
Cuba è una famiglia di ransomware osservata per la prima volta nel 2019 che nel 2022 è riemersa. I gruppi che la sfruttano hanno col tempo affinato le loro tattiche, introducendo la doppia estorsione e un sito di leak, in cui è presente anche la sezione per il pagamento dei riscatti. A partire da luglio 2022, i ricercatori di Palo Alto Networks hanno rilevato 27 attacchi ad altrettante aziende (incluse alcune italiane) ma secondo gli analisti il numero di vittime è superiore. Secondo l'FBI, il gruppo di criminali dietro a questa minaccia ha già ricavato quasi 44 milioni dai riscatti.
Il ransomware Cuba torna a colpire
Secondo la Unit 42 di Palo Alto, dietro al ransomware Cuba c'è un gruppo chiamato Tropical Scorpius, che dal 2019 ha evoluto e migliorato le sue tecniche, a partire dall'introduzione di un sito dedicato ai leak, probabilmente realizzato dopo aver preso "spunto" da altri gruppi criminali. In questo sito vengono esposti i dati delle aziende che non hanno ceduto al ricatto, che sono qui venduti al miglior offerente. In totale, dal 2019 sono state circa 60 le realtà colpite da questo ransomware, 27 delle quali solo a partire da luglio 2022. Il sospetto, però, è che le aziende colpite siano di più, con alcune che hanno scelto di non rendere pubblica la violazione. La maggior parte delle imprese colpite da Cuba (il 66%) sono realtà statunitensi, e le rimanenti sono distribuite fra Canada, Australia e Italia.
Sotto il profilo tecnico, è interessante notare come Cuba cifra i file in maniera differente a seconda della loro dimensione. Se il file è inferiore ai 2 MB, viene cifrato totalmente mentre quelli più grandi vengono criptati in blocchi di 1 MB. Cuba non cifra indiscriminatamente tutti i file ma evita quelli presenti in alcune cartelle (come \Windows, \boot, \users\default) e ignora file con le seguenti estensioni: .exe, .dll .sys .ini .lnk .vbm .cuba.
Come difendersi da Cuba
I ricercatori di Unit 42 di Palo Alto suggeriscono alle imprese di mettere in piedi sistemi di log e girare queste informazioni alla suite SIEM così da incrementare le possibilità di riconoscere quanto prima un possibile tentativo di attacco.
Un ulteriore suggerimento è quello di effettuare analisi della memoria tramite soluzioni XDR/EDR in grado di individuare tentativi di evasione o di movimento laterale da parte degli attaccanti.
Sapphire NITRO+ Radeon RX 9070 XT recensione: una GPU AMD con connettore 12V-2x6
Recensione Onyx Boox Palma 2: solo evoluzione ma rimane unico 
MWC 2025: dalle reti alle applicazioni, il 5G diventa l’infrastruttura per il futuro dell’IA
Alla ricerca di auricolari di qualità? Ecco perché Apple AirPods 4 a 129€ sono la scelta migliore
Apple, scossone ai vertici: il creatore di Vision Pro al comando della nuova Siri dopo i ritardi nell'IA
Cybersecurity: è ancora record di incidenti informatici in Italia. Ma è tutto così negativo? Ne parliamo con Fortinet
4 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - infoin hiamboli, quindi li hanno comprati da una società terza (sempre a loro collegata) poi si sono dati appuntamento sotto il cavalcavia, ma non si è pretesentato nessuno, per lo scambio contanti/chiave decrittazione, avendo già intascato il malloppo
https://www.ic3.gov/Media/News/2021/211203-2.pdf
Bitcoin Wallet Receiving Ransom Payments, as of Mid-October 2021
bc1qvpk8ksl3my6kjezjss9p28cqj4dmpmmjx5yl3y
bc1qhtwfcysclc7pck2y3vmjtpzkaezhcm6perc99x
bc1qft3s53ur5uq5ru6sl3zyr247dpr55mnggwucd3
bc1qp7h9fszlqxjwyfhv0upparnsgx56x7v7wfx4x7
Hasta la crypto siempre!
ps magari potrà parere scontato ma credo che l'articolo dovesse specificare che i 44 milioni sono in dollari americani...
I ricercatori della Unit 42 di Palo Alto hanno scoperto che il ransomware Cuba, scoperto nel 2019, ha ricominciato a mietere vittime. 27 le aziende colpita da luglio 2022, distribuite fra USA, Italia, Canada e Australia
Click sul link per visualizzare la notizia.
Bello!
Sarà sicuramente la variante Centaurus-Cuba
Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".