Gangue do ransomware Cuba consegue extorquir R$ 250 milhões

Uma gangue responsável por um ransomware conhecido como Cuba veio à tona no início deste mês devido a um alerta divulgado pelo Federal Bureau of Investigation (FBI) dos EUA. A organização criminosa, até agora conhecida por conseguir burlar radares de proteção e fazer poucas vítimas, foi denunciada pela polícia federal norte-americana como um dos grupos de ransomware mais lucrativos em sua área de atuação.

De acordo com o documento divulgado na quinta-feira (2), o FBI afirma que, embora o total de organizações (inclusive governamentais) atingidas seja de apenas 49 no início de novembro, a soma dos resgates exigidos chega a US$ 76 milhões (R$ 433 milhões). Do montante total, pelo menos US$ 43,9 milhões, cerca de R$ 250 milhões, já foram pagos pelas vítimas, a maioria delas compostas por “infraestruturas críticas” dos setores financeiro, saúde, manufatura e TI.

As empresas visadas, geralmente de médio porte, são acessadas inicialmente através do malware Hancitor, um trojan de alto risco, distribuído através de campanhas de phishing, explorando algumas vulnerabilidades da conta de e-mail corporativa Microsoft Exchange, credenciais comprometidas ou as prosaicas conexões RDP de pessoa para pessoa. Uma vez dentro do sistema da vítima, abre-se o caminho para ataques ransomware de exploração posterior.  

Como age a gangue do ransomware Cuba?

Fonte: FBI/Divulgação.

De acordo com o FBI, o Hancitor ativa o CobaltStrike, um conhecido framework utilizado por equipes de cibersegurança para penetrar em um sistema. O beacon aparece como um serviço na rede da vítima, utilizando arquivos legítimos do Windows, como PowerShell, PsExec e outros, com o objetivo de obter privilégios de administrador.

De posse das credenciais, os cibercriminosos usam a própria interface (API) dos sistemas comprometidas para acessar um servidor remoto e baixar o ransomware que bloqueia definitivamente o sistema. A partir daí, todos os arquivos passam a exibir uma extensão .cuba na identificação e, se as empresas se recusam a pagar o resgate exigido, os invasores ameaçam postar arquivos confidenciais na dark web.