Indicadores de compromiso de Ransomware Cuba
AS-096-2022
Fecha: 14/Dic/2022
Notificado por: Correo CISA
Resumen:
A principios de noviembre de 2021, el FBI ha identificado, que los actores maliciosos del ransomware denominado Cuba comprometieron al menos 49 entidades en cinco sectores de infraestructura crítica, incluidos los sectores financiero, gubernamental, sanitario, manufacturero y de tecnología de la información.
El nombre del Cuba no tiene nada que ver con actores del país del mismo nombre.
El ransomware Cuba se distribuye a través del malware Hancitor, que ejecuta troyanos como el RAT que permiten el acceso remoto en las redes de las víctimas. Los actores del malware Hancitor usan correos electrónicos de Phishing, vulnerabilidades de Microsoft Exchange, credenciales comprometidas o herramientas legítimas de Protocolo de escritorio remoto (RDP) para obtener el acceso inicial a la red de una víctima.
Posteriormente, los actores de ransomware de Cuba utilizan Servicios de Windows, como PowerShell, PsExec y otros servicios no especificados, y, a continuación, aprovechan los privilegios de administrador de Windows para ejecutar su ransomware y otros procesos en forma remota. Los actores de ransomware Cuba comprometen la red de una víctima a través del cifrado de archivos de destino con la extensión ".cuba". Los actores maliciosos de ransomware de Cuba han exigido al menos en EE.UU. $ 74 millones y recibieron alrededor de US $ 43.9 millones en pagos de rescate.
Detalles técnicos:
El ransomware Cuba, tras el compromiso, instala y ejecuta CobaltStrike como servicio en la red de la víctima a través de PowerShell. Una vez instalado, el ransomware descarga dos archivos ejecutables, "pones.exe" y "krots.exe", para la adquisición de contraseñas, lo que permite a los actores del ransomware Cuba, escribir en el sistema de archivos temporales (TMP).
El archivo TMP incluye programación de aplicaciones con llamadas a la interfaz (API) relacionadas con la inyección de memoria que, una vez ejecutada, se elimina del sistema. Tras la eliminación del archivo TMP, la red comprometida comienza a comunicarse con un repositorio de malware ubicado en la URL teoresp.com con sede en Montenegro.
Los actores de ransomware Cuba usan el malware MimiKatz para robar credenciales y luego usan RDP para iniciar sesión en el host de red comprometido con una cuenta de usuario específica. Luego usan el servidor CobaltStrike para comunicarse con la cuenta de usuario comprometida.
Una vez iniciadas las funciones del script de PowerShell se asigna espacio de memoria para ejecutar una carga útil codificada con Base 64, que es utilizada para llegar al servidor de comando y control remoto (C2), lo que finalmente servirá para desplegar el ransomware. El servidor C2 remoto se encuentra en la url maliciosa: kurvalarva.com.
Indicadores de compromiso:
|
Archivos asociados y Hashes a oct 2021 |
||
|
Nombre de Archivo |
Path |
Archivo Hash |
|
qcklo.aspx |
c:\inetput\wwwro ot\aspnet_client |
MD5: 7b6f996cc1ad4b5e131e7bf9b1c33253 SHA-1: 2841848ef59dfe7137e15119e4c9ce5e873e3607 SHA-256: b14341b1ffe9e2730394b9066c6829b4e2f59a4234765ae2e 97cfc6d4593730a |
|
haqdu.aspx |
c:\inetput\wwwro ot\aspnet_client |
MD5: 7b6f996cc1ad4b5e131e7bf9b1c33253 SHA-1: 2841848ef59dfe7137e15119e4c9ce5e873e3607 SHA-256: b14341b1ffe9e2730394b9066c6829b4e2f59a4234765ae2e 97cfc6d4593730a |
|
komar.ps1 |
c:\windows\temp |
MD5: ba83831700a73661f99d38d7505b5646 SHA-1: 209ffbc8ba1e93167bca9b67e0ad3561c065595d SHA-256: |
|
79d6b1b6b1ecb446b0f49772bf4da63fcec6f6bfc7c2e1f4924 cb7acbb3b4f53 |
||
|
aa.bat |
c:\windows\temp |
MD5: 3fe1a3aaca999a5db936843c9bdfea14 SHA-1: 25ebe54beb3c422ccd2d90aa8ae89087f71b0bed SHA-256: e82cc49c03320a0fb6ec3512c0ca3332eb1b40070cc53a78bc 80b77b4aba975c |
|
aa.dll |
c:\windows\temp |
MD5: d907be57b5ef2af8a8b45d5f87aa4773 SHA-1: 867d41458d94e985f6b3e2bae1dfb75e14cbc57f SHA-256: 4b5eefa1727b97b6f773be3937a8cc390f0434ddc2f01dc24b 68b690fafbcc93 |
|
netping.dll |
c:\windows\temp |
|
|
check.txt |
c:\windows\temp |
|
|
result.txt |
c:\windows\temp |
|
|
protoping.exe |
c:\windows\temp |
|
|
agent32.ps1 |
c:\windows\temp |
MD5: ba83831700a73661f99d38d7505b5646 SHA-1: 209ffbc8ba1e93167bca9b67e0ad3561c065595d SHA-256: 79d6b1b6b1ecb446b0f49772bf4da63fcec6f6bfc7c2e1f4924 cb7acbb3b4f53 |
|
new.dll |
c:\programdata |
MD5: ee2f71faced3f5b5b202c7576f0f52b9 SHA-1: d1ff26ea3d2d2ced4b7e76d971a60533817048d7 SHA-256: 5cd95b34782ca5acf8a34d9dc184cb880a19b6edcaf4a4553f a0619b597c2f50 |
|
run.txt |
c:\windows\temp |
MD5: 99c7cad7032ec5add3a21582a64bb149 SHA-1: 4de5d433af5701462517719ce097bb4c0e5676c9 SHA-256: 7f4bdf94a0e0457f41bdd1a8d8d9fc39fc383d3d0a33104882 8d391bbf727a1e |
|
agent32.bin |
c:\windows\temp |
MD5: 72a60d799ae9e4f0a3443a2f96fb4896 SHA-1: a304497ff076348e098310f530779002a326c264 SHA-256: 6d5ca42906c60caa7d3e0564b011d20b87b175cbd9d44a96 673b46a82b07df68 |
|
dc.exe |
||
|
iv.exe |
||
|
ivnet.exe |
||
|
shar.bat |
||
|
psexesrv.exe |
||
|
82.ps1 |
||
|
process 66-87.dll; |
||
|
install.cmd |
||
|
ce3a6224dae98fdaa712cfa6495cb72349f333133dbfb339c9 e90699cbe4e8e |
||
|
141b2190f51397dbd0dfde0e3904b264c91b6f81febc823ff0 c33da980b69944 |
||
|
1d142c36c6cdd393fe543a6b7782f25a9cbafca17a1cfa0f3fc 0f5a9431dbf3f |
||
|
81bdd622f0cb9d7e2ac5325a74606fa7818bd4205f37184eb a68cdcbe96942f6 |
||
|
d010fbb1afeb610338c49ae2425b6b7c4a9f4c469aedd096a 15b32527565d7db |
||
|
7e765942d89cd3bfaca41034cd959b8d741085bd8bcedbb7 41e15ed685227a5e |
||
|
05f90cad3627f5253e1a03156793bc6cada7f4ce0d510f5513 9f0285fcff589d |
||
|
EEDC68C92C50BE88C5935651D6B772D4728C3566581BE1F 24D4CE7EF63A76D2E |
||
|
3468C6DEB3827F5C161A8622E7D794444C7B38225F6F150 02193D2572A4D132E |
||
|
02B17677BEC8A4FBB77FDDB347BFDCC651FF2B25187131C CE45C326E3CF42FE5 |
||
|
188E66158E0F96AD1FFD3F090E2570B8644CD80733C7AAF B931E893A4F280165 |
||
|
Correos electrónicos asociados a Cuba Ransomware a Octubre 2021 |
|
|
Proveedor de correo |
Correo electrónico |
|
Protonmail |
Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo. |
|
Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo. |
|
|
Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo. |
|
|
Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo. |
|
|
Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo. |
|
|
Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo. |
|
|
Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo. |
|
|
Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo. |
|
|
Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo. |
|
|
Protonmail.ch |
Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo. |
|
Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo. |
|
|
Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo. |
|
|
Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo. |
|
|
Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo. |
|
|
Cock.li |
Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo. |
|
Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo. |
|
|
Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo. |
|
|
Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo. |
|
|
Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo. |
|
|
Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo. Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo. |
|
Direcciones IP Asociados con el Ransomware Cuba:
- 37.120.193.123
- 40.115.162.72
- 157.245.70.127
- 31.44.184.82
- 185.153.199.176
Información requerida:
El FBI está buscando cualquier información que pueda compartirse, para incluir registros que muestren la comunicación hacia y desde direcciones IP extranjeras, información de billetera Bitcoin, el archivo descifrador y/o una muestra benigna de un archivo cifrado.
Recomendaciones:
- Contraseñas seguras y únicas: Todas las cuentas con inicios de sesión con contraseña (por ejemplo, cuenta de servicio, cuentas de administrador y cuentas de administrador de dominio) tengan contraseñas seguras y únicas.
- Las contraseñas no deben reutilizarse en varias cuentas ni almacenarse en el sistema donde un adversario puede tener acceso. Nota: Los dispositivos con cuentas administrativas locales deben implementar una política de contraseñas que requiera contraseñas seguras y únicas para cada cuenta administrativa individual.
- Multifactor: Requerir autenticación multifactor para todos los servicios en la medida de lo posible, especialmente para correo web, redes privadas virtuales y cuentas que acceden a sistemas críticos.
- Actualización de Sistemas Operativos y software: Mantenga actualizados todos los sistemas operativos y software. La aplicación oportuna de parches es uno de los pasos más eficientes y rentables que una organización puede tomar para minimizar su exposición a las amenazas de ciberseguridad.
- Privilegios mínimos: Elimine los accesos innecesarios a recursos compartidos administrativos, especialmente ADMIN$ y C$. Si ADMIN$ y C$ se consideran operacionalmente necesarios, restrinja los privilegios solo a los servicios necesarios o cuentas de usuario necesarias y realice un monitoreo continuo para detectar actividades anómalas.
- Firewall basado en host: Usar un firewall basado en host para permitir solo conexiones a recursos compartidos administrativos a través del bloque de mensajes del servidor (SMB) desde un conjunto limitado de equipos administradores.
Limitar las técnicas comunes de detección de sistemas y redes mediante las siguientes acciones:
- Segmentar las redes: La segmentación de la red puede ayudar a prevenir la propagación del ransomware al controlar los flujos de tráfico entre varias subredes y el acceso a ellas restringiendo el movimiento lateral del adversario.
- Monitoreo de red: Identifique, detecte e investigue la actividad anormal y el posible recorrido del ransomware con una herramienta de monitoreo de red. Para ayudar a detectar el ransomware. Las herramientas de detección y respuesta de endpoints (EDR) son particularmente útiles para detectar conexiones laterales, ya que tienen información sobre conexiones de red comunes y poco comunes para cada host.
- Implementar el acceso basado en el tiempo para las cuentas establecidas en el nivel de administrador y superior. Por ejemplo, el método de acceso Just-in-Time (JIT) proporciona acceso privilegiado cuando sea necesario y puede admitir la aplicación del principio de privilegios mínimos (así como el modelo de confianza cero).
- Deshabilitar permisos en línea de comandos y scripting. La escalada de privilegios y el movimiento lateral a menudo dependen de las utilidades de software que se ejecutan desde la línea de comandos. Si los actores de amenazas no pueden ejecutar estas herramientas, tendrán dificultades para escalar privilegios y/o moverse lateralmente.
- Respaldos: Mantenga copias de seguridad de datos sin conexión y mantenga regularmente copias de seguridad y restauración. Esta práctica asegurará que la organización no se vea severamente interrumpida. Asegúrese de que todos los datos de copia de seguridad estén encriptados, sean inmutables (es decir, no se puedan alterar ni eliminar) y cubran toda la infraestructura de datos de la organización.
Referencia:
https://www.ic3.gov/Media/News/2021/211203-2.pdf
