Le groupe de rançongiciels UNC2596, également connu sous le nom de Cuba, exploite les vulnérabilités trouvées dans Microsoft Exchange pour compromettre les points de terminaison de l'entreprise, collecter des données et finalement déployer le logiciel malveillant COLDDRAW.
Les experts en cybersécurité de Mandiant ont suivi le groupe de rançongiciels, affirmant qu'il s'en prenait principalement aux entreprises aux États-Unis et au Canada.
Le rapport d'expert indique que le groupe utilise les vulnérabilités ProxyShell et ProxyLogon depuis au moins août 2021 pour implanter divers shells Web, des chevaux de Troie d'accès à distance (RAT) et des portes dérobées sur des systèmes compromis.
Parmi les portes dérobées utilisées, CobaltStrike et NetSupport Manager semblent être les choix les plus populaires, mais ils utilisent souvent des produits internes, appelés "Bughatch", "Wedgecut", "Burntcigar" ou "Eck". Certains d'entre eux sont utilisés comme outils de reconnaissance, d'autres pour tuer des processus et élever des privilèges.
La différence entre UNC2596 et les autres groupes de rançongiciels est que ce groupe n'envoie pas les données extraites aux services cloud. Au lieu de cela, ils utilisent une infrastructure privée.
Un acteur de ransomware en pleine croissance
Le groupe cubain de rançongiciels se serait formé fin 2019 et, après un démarrage relativement lent, s'est accéléré tout au long de 2020 et 2021. En mai 2021, le groupe s'est associé aux spammeurs de logiciels malveillants Hancitor et a réussi à voler les mots de passe du réseau d'entreprise avec DocuSign malveillant. enregistrements.
Fin 2021, le FBI a publié un avis sur le groupe qui affirmait que le groupe avait violé 49 organisations d'infrastructures critiques aux États-Unis (le site Web Cuba leak comptait moins de 30 victimes répertoriées). Ses opérations lui ont rapporté près de 44 millions d'euros, a ajouté l'agence d'application de la loi. Cependant, il a exigé 74 millions d'euros.
Malgré les demandes de rançon, à la fois impayées et payées, atteignant des millions à deux chiffres, le groupe est relativement petit par rapport à certains des plus grands acteurs du jeu des rançongiciels.
Les chercheurs en cybersécurité d'Emsisoft, par exemple, ont déclaré qu'il y avait eu 105 envois de ransomwares à Cuba l'année dernière, tandis que Conti en avait plus de 600.
Via: BleepingComputer