Nova variante do ransomware Cuba envolve esquema de dupla extorsão

Cuba Flag

O que há de novo na variante de abril do Cuba Ransomware

A família de ransomware Cuba conseguiu um novo espécime. A nova versão de Cuba revelou-se no final de abril 2022 e esteve envolvido no ataque a duas empresas na Ásia. Embora as alterações em comparação com versões anteriores não possam ser chamadas de cruciais, alguns deles merecem ser mencionados.

O malware é injetado através do Downloader do BUGHATCH, que funciona em conexão com seu centro de comando e controle. Este último envia código (Scripts do PowerShell e executáveis ​​portáteis a serem executados no computador atacado. O próprio downloader chega ao dispositivo comprometido por meio de um link para um script do PowerShell ou um Trojan conta-gotas, também escrito em Power Shell.
Variante de abril Cuba sofreu algumas alterações em termos de comandos. Por isso, “local” e “rede” são os únicos dois comandos restantes relacionados a diretórios e locais.

A lista de serviços e processos que o ransomware encerra na chegada foi um pouco ampliada e agora inclui 47 Unid, principalmente garantindo que os serviços relacionados ao Microsoft Exchange e SQL sejam interrompidos.
A lista de exclusão de pastas para que o malware não prejudique também é estendida para 16 diretórios com a pasta do Google protegida junto com os esperados do Windows e dos arquivos de programas. As extensões listadas como seguras para criptografia são: .exe, .dll, .sistema, .Esse, .link, .vbm, e, Compreensível, .Cuba.

Extorsão em dois níveis

A nova Cuba é muito cuidadosa quando se trata de extorsão. Desta vez é um esquema de dupla extorsão. Se a vítima não entrar em contato com os criminosos em três dias, os hackers ameaçam expor os dados extraídos da máquina alvo.

Cuba Ransomware Ransom Note
Esta nota de resgate de Cuba afirma claramente que a ameaça de exposição dos dados da vítima.

Tais ameaças não são blefe, infelizmente. Aconteceu antes com a empresa de desenvolvimento de jogos CD Project como materiais inacabados do Cyberpunk 2077 jogo foi publicado na web como resultado de um ransomware de camada dupla ataque em fevereiro 2021.

Os malfeitores também facilitam completamente aqueles que estão dispostos a cooperar. Para facilitar a comunicação, eles têm uma conta quTox.

Por Stephanie Adlam

Escrevo sobre como tornar sua navegação na Internet confortável e segura. Vale a pena fazer parte do mundo digital moderno e quero mostrar como fazê-lo da maneira adequada.

Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *