Группировка Cuba вернулась в строй с обновленным вариантом вымогателя

Обнаружен новый вариант вымогателя с добавлениями и изменениями, делающими его еще более опасным.

Операторы вымогательского ПО Cuba снова вернулись в строй, прихватив с собой новую версию вымогателя.

Пик активности Cuba пришелся на 2021 год, когда группировка сотрудничала с операторами вредоносного ПО Hancitor для получения начального доступа к атакуемым сетям. К концу года она взломала 49 организаций критической инфраструктуры в США. А вот нынешний год начался не так впечатляюще – вымогательское ПО Cuba заразило всего несколько жертв. Тем не менее, специалисты ИБ-компании Mandiant обнаружили, что группировка экспериментирует с тактиками, а значит, все еще активна.

Согласно новому отчету исследователей из Trend Micro, с марта по апрель текущего года Cuba уверенно атаковала новых жертв. На ее сайт утечек в сети Tor в апреле были добавлены три жертвы, а в мае – одна. Хотя данные были опубликованы недавно, сами атаки, скорее всего, имели место раньше. Безусловно, четыре жертвы за два месяца выглядят не слишком впечатляюще, однако операторы Cuba известны своим избирательным подходом к тому, кого атаковать.

В конце апреля исследователи из Trend Micro выявили новый вариант вымогателя с незначительными добавлениями и изменениями, делающими его еще более опасным. Хотя изменения практически не коснулись функционала, их главной задачей было оптимизировать выполнение вымогательского ПО, свести к минимуму непредусмотренные действия со стороны системы и обеспечить техническую поддержку жертвам, решившим вступить в переговоры с вымогателями.

Перед шифрованием файлов обновленная версия вымогателя теперь завершает больше процессов, включая Outlook, MS Exchange и MySQL, чтобы они не могли заблокировать файлы и тем самым защитить их от шифрования.

Кроме того, расширился список типов файлов и директорий, которые не должны шифроваться. Это позволяет системе работать после атаки и предотвращает повторное выполнение, которое может привести к повреждению файлов (если файлы будут повреждены без возможности восстановления, жертва не захочет платить выкуп за расшифровку).

Операторы вымогателя также обновили записку с требованием выкупа, добавив в нее quTox для оказания техподдержки жертвам в режиме реального времени.

Появление обновленной версии Cuba означает, что вымогатель все еще представляет угрозу для организаций (в основном в Северной Америке). В настоящее время бесплатных инструментов для восстановления зашифрованных им файлов не существует.

Один хакер может причинить столько же вреда, сколько 10 000 солдат! Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!