El Equipo de Respuesta a Emergencias Informáticas del gobierno de Ucrania (CERT UA) emitió una advertencia a principios de esta semana sobre una aparente campaña de ransomware en Cuba que está falsificando a la oficina de prensa del Estado Mayor General de las Fuerzas Armadas de Ucrania en sus señuelos de phishing.
Los correos electrónicos maliciosos contienen enlaces a un recurso web de terceros para descargar un archivo, lo que lleva a una página web que contiene un mensaje que aconseja a la víctima que actualice su lector de PDF. Si se hace clic en el botón de descarga, se descarga un ejecutable al sistema.
En última instancia, la cadena de ataque conduce al despliegue de un troyano de acceso remoto (RAT) conocido como Romcom, que es un malware relativamente nuevo que se sabe que utiliza el operador del ransomware Cuba, rastreado por CERT-UA como UAC-0132, por Unidad 42 de Palo Alto Networks como Tropical Scorpius, y por Mandiant como UNC2596.
Chris Hauk, de Pixel Privacy, comentó: “Podemos esperar que aumenten los ataques como este mientras continúe la guerra entre Ucrania y Rusia. Si bien normalmente enfatizaría la importancia de educar a los usuarios sobre los riesgos de hacer clic en enlaces y abrir archivos adjuntos en correos electrónicos no solicitados, sé que tratar de sobrevivir en un país devastado por la guerra no deja mucho tiempo para actividades educativas.
“Desafortunadamente, los grupos de piratería con fines de lucro se están uniendo a los ataques cibernéticos contra objetivos en Ucrania, lo que aumenta los riesgos cibernéticos de los usuarios”.
Paul Bischoff, defensor de la privacidad del consumidor en Comparitech, agregó: “Ucrania ha estado bajo una avalancha de ataques cibernéticos desde el comienzo de la invasión de Rusia, y eso no se detendrá pronto. Este caso es un mensaje de phishing bastante típico diseñado para engañar a la víctima para que descargue malware.
“Se puede evitar siguiendo algunas de las mejores prácticas sencillas para la seguridad operativa. Nunca haga clic en enlaces o mensajes en correos electrónicos no solicitados y siempre verifique el dominio de la dirección de correo electrónico del remitente. Desafortunadamente, esta campaña probablemente se dirigió a cientos o miles de personas, y solo una fracción de ellas necesita ser víctima para que el ataque tenga éxito”.
Según la Unidad 42, Cuba apareció por primera vez a fines de 2019 y desde entonces ha nombrado y avergonzado a más de 60 víctimas en su sitio de fuga; es probable que su número total de víctimas sea mayor. Es probable que haya obtenido al menos 43,9 millones de dólares en pagos de rescate. Se ha dirigido principalmente a organizaciones en los EE. UU., pero también en Australia, Austria, Canadá, Colombia, India, Italia, Kuwait, Italia, Taiwán y los Emiratos Árabes Unidos.
A principios de este año, junto con otras tácticas, técnicas y procedimientos (TTP) nuevos, la operación de Cuba comenzó a implementar Romcom, una RAT/puerta trasera personalizada que contiene un protocolo único de comando y control (C2) y parece estar en desarrollo activo. .
“La actividad del grupo deja en claro que un enfoque de comercio que utiliza un híbrido de herramientas más matizadas que se enfoca en los componentes internos de Windows de bajo nivel para la evasión de defensa y la escalada de privilegios locales puede ser muy efectivo durante una intrusión”, escribió el equipo de investigación de la Unidad 42. “Junto con un toque de técnicas de crimeware bien adoptadas y exitosas, esto presenta desafíos únicos para los defensores.
“Unit 42 recomienda que los defensores tengan capacidades de registro avanzadas implementadas y configuradas correctamente, como Sysmon, registro de línea de comandos de Windows y registro de PowerShell, idealmente reenviando a una herramienta de gestión de eventos e información de seguridad. [SIEM] para crear consultas y oportunidades de detección. Mantenga los sistemas informáticos parcheados y actualizados siempre que sea posible para reducir la superficie de ataque relacionada con las técnicas de explotación”.