lunes, 8 de junio de 2020

Ransomware Cuba y su forma de atacar



     Recientemente se han registrado ataques del ransomware Cuba en varias empresas de Latinoamérica, cifrando toda la información y requiriendo un pago por bitcoin. Cuba se propaga a través archivos con macros adjuntos de correo electrónico, escritorios remotos, sitios web de torrents y anuncios maliciosos.

Previo al cifrado de datos, los atacantes hacen una copia de todos los archivos hacia servidores de almacenamiento, a fin de tener una forma segura de extorsión. Algunas de las variantes que están trabajando con esta nueva táctica son: DopplePaymer, Sodinokibi, ProLock, Maze, Mespinoza, Netwalker, CLoP y  Nephilim.

Cuba cifra todo tipo de documentos del ordenador, cambia los nombres de los archivos agregando la extensión ".cuba" y crea el archivo de texto "!!FAQ for Decryption!!.txt", que es la nota de rescate.

También borra todas las copias de seguridad de volumen del sistema operativo Windows mediante el uso de comandos en la consola.

Las nuevas campañas de ransomware evidenciadas en 2020 utilizan esta nueva forma de comprometer la información y así asegurar el pago. Estas variantes amenazan con la divulgación de los datos exfiltrados de sus víctimas como parte estándar de todos sus ataques, contando en muchos casos con sitios web particulares para dichas filtraciones.

No hay comentarios:

Publicar un comentario