Группировка Cuba вернулась в строй с обновленным вариантом вымогателя

Операторы вымогательского ПО Cuba снова вернулись в строй, прихватив с собой новую версию вымогателя.

Пик активности Cuba пришелся на 2021 год, когда группировка сотрудничала с операторами вредоносного ПО Hancitor для получения начального доступа к атакуемым сетям. К концу года она взломала 49 организаций критической инфраструктуры в США. А вот нынешний год начался не так впечатляюще – вымогательское ПО Cuba заразило всего несколько жертв. Тем не менее, специалисты ИБ-компании Mandiant обнаружили , что группировка экспериментирует с тактиками, а значит, все еще активна.

Согласно новому отчету
исследователей из Trend Micro, с марта по апрель текущего года Cuba уверенно атаковала новых жертв. На ее сайт утечек в сети Tor в апреле были добавлены три жертвы, а в мае – одна. Хотя данные были опубликованы недавно, сами атаки, скорее всего, имели место раньше. Безусловно, четыре жертвы за два месяца выглядят не слишком впечатляюще, однако операторы Cuba известны своим избирательным подходом к тому, кого атаковать.

В конце апреля исследователи из Trend Micro выявили новый вариант вымогателя с незначительными добавлениями и изменениями, делающими его еще более опасным. Хотя изменения практически не коснулись функционала, их главной задачей было оптимизировать выполнение вымогательского ПО, свести к минимуму непредусмотренные действия со стороны системы и обеспечить техническую поддержку жертвам, решившим вступить в переговоры с вымогателями.

Перед шифрованием файлов обновленная версия вымогателя теперь завершает больше процессов, включая Outlook, MS Exchange и MySQL, чтобы они не могли заблокировать файлы и тем самым защитить их от шифрования.

Кроме того, расширился список типов файлов и директорий, которые не должны шифроваться. Это позволяет системе работать после атаки и предотвращает повторное выполнение, которое может привести к повреждению файлов (если файлы будут повреждены без возможности восстановления, жертва не захочет платить выкуп за расшифровку).

Операторы вымогателя также обновили записку с требованием выкупа, добавив в нее quTox для оказания техподдержки жертвам в режиме реального времени.

Появление обновленной версии Cuba означает, что вымогатель все еще представляет угрозу для организаций (в основном в Северной Америке). В настоящее время бесплатных инструментов для восстановления зашифрованных им файлов не существует.

Источник: SecurityLab