ФБР: шифровальщик Cuba принес своим разработчикам $60 млн в 2022 году

В период с декабря 2021 года по август 2022 года кубинская банда, стоящая за вымогателем Cuba, вытребовала у жертв более 60 миллионов долларов в качестве выкупа, говорится в совместном консультативном заявлении CISA и ФБР.

Этот информационный бюллетень является продолжением экстренного предупреждения, выпущенного ФБР в декабре 2021 года, которое показало, что банда заработала около 44 миллионов долларов в виде выкупа после атак на более чем 49 организаций в пяти критических секторах инфраструктуры в Соединенных Штатах.

С тех пор кубинская банда вымогателей получила дополнительно 60 миллионов долларов от атак на 100 организаций по всему миру, что составляет почти половину из 145 миллионов долларов, которые она потребовала в качестве выкупа от этих жертв.

Субъекты программы-вымогателя с Кубы, которые действуют с 2019 года, продолжают атаковать американские организации в критически важной инфраструктуре, включая финансовые услуги, государственные учреждения, здравоохранение и общественное здравоохранение, критическое производство и информационные технологии.

В августе этого года банда была связана с атакой программы-вымогателя, нацеленной на национальное государство Черногория, которая была нацелена на правительственные системы и другую критически важную инфраструктуру и коммунальные услуги, включая системы электроснабжения, водоснабжения и транспорта. Во время атаки кубинская банда вымогателей утверждала, что получила «финансовые документы, переписку с банковскими служащими, движение счетов, балансы, налоговые документы, компенсацию и исходный код» от парламента Черногории.

Cuba также был связан со взломом данных Департамента транспортных средств Калифорнии в апреле этого года, когда злоумышленники скомпрометировали регистрационные записи транспортных средств в Калифорнии, которые содержат имена, адреса, номерные знаки и идентификационные номера транспортных средств.

ФБР и CISA добавили, что банда вымогателей изменила свою тактику, методы и процедуры с начала года и была связана с вредоносным ПО RomCom, специальным трояном удалённого доступа для управления и контроля, а также с программой-вымогателем Industrial Spy.

В бюллетене отмечается, что группа, которую компания по кибербезопасности Profero ранее связывала с русскоязычными хакерами, обычно вымогает деньги у жертв, угрожая утечкой украденных данных. Хотя эти данные обычно просачивались на кубинский сайт утечки в даркнете, в мае этого года он начал продавать украденные данные на онлайн-рынке Industrial Spy.

CISA и ФБР призывают организации, подвергающиеся риску, уделять первоочередное внимание исправлению известных эксплуатируемых уязвимостей, обучать сотрудников обнаруживать фишинговые атаки и сообщать о них, а также включать и применять устойчивую к фишингу многофакторную аутентификацию.

Публикация CISA и рекомендаций ФБР происходит в то время, когда кубинская банда вымогателей продолжает перечислять новых жертв на своем веб-сайте. Самые последние дополнения включают Generator Power, британскую компанию по аренде генераторов, и немецкую фирму по мониторингу СМИ Landau Media.