Ransomware Cuba: nel mirino USA, Italia, Canada e Australia
Il ransomware Cuba è emerso per la prima volta a dicembre 2019. Da allora, l’attore delle minacce dietro questa tipologia di ransomware, tracciato come Tropical Scorpius da Unit 42 di Palo Alto Networks, ha modificato le proprie tattiche e strumenti per diventare una delle minacce più diffuse del 2022.
“Questo ransomware – specificano da Palo Alto Networks – è stato storicamente distribuito tramite Hancitor, con allegati dannosi. Tropical Scorpius è stato osservato anche sfruttare le vulnerabilità di Microsoft Exchange Server, tra cui ProxyShell e ProxyLogon”.
Come agisce il ransomware Cuba?
Questa famiglia di ransomware utilizza una doppia estorsione insieme a un sito di leak che espone le organizzazioni presumibilmente compromesse. Non possedeva un sito di leak quando è stato osservato per la prima volta nel 2019 e Unit 42 di Palo Alto Networks sospetta che l’ispirazione per aggiungerne uno sia giunta da altri gruppi cybercriminali come Maze e REvil. Il sito dei leaks di Cuba Ransomware include anche una sezione a pagamento in cui gli attori delle minacce condividono i leaks con chi è interessato ad acquistarli.
I settori attaccati e i riscatti
Unit 42 Ransomware Threat Report include osservazioni su come il Ransomware Cuba abbia colpito 33 organizzazioni. A partire da luglio 2022, Tropical Scorpius ha utilizzato questo ransomware per attaccare altre 27 organizzazioni in diversi settori, come servizi professionali e legali, amministrazioni statali e locali, industria manifatturiera, trasporti e logistica, commercio all’ingrosso e al dettaglio, settore immobiliare, servizi finanziari, sanità, tecnologia, servizi pubblici ed energia, edilizia e istruzione. Un totale di 60 organizzazioni è stato esposto sul sito di leak da quando il gruppo è emerso per la prima volta nel 2019.
“Il numero di vittime probabilmente è maggiore rispetto a quello indicato dal sito – sottolineano da Palo Alto – poiché gli operatori ransomware di solito non rilasciano pubblicamente i dati se la vittima paga il riscatto. Detto questo, l’FBI afferma che questo gruppo hacker ha guadagnato almeno 43,9 milioni di dollari dai pagamenti dei riscatti e ha richiesto almeno 74 milioni di dollari”.
I Paesi nel mirino
Per quanto concerne i Paesi maggiormente attaccati dal ransomware Cuba, Palo Alto evidenzia che nel mirino ci sono gli USA ed il Canada, ma anche l’Italia, l’Australia ed altri Paesi come viene riportato nel grafico.