I principali attacchi ransomware provengono dalla Cina e dalla Russia, ma l’FBI ha scoperto recentemente un attacco effettuato da cybercriminali cubani contro 49 aziende che gestiscono infrastrutture critiche negli Stati Uniti. Nell’avviso dell’agenzia governativa viene specificato che la somma guadagnata dai riscatti ammonta a quasi 44 milioni di dollari.
Attacchi ransomware: ci sono anche i cubani
La scoperta è avvenuta all’inizio di novembre. L’attacco è avvenuto contro 49 aziende che operano in diversi settori, tra cui quelli finanziari, governativi e tecnologici. Il ransomware cubano è stato distribuito attraverso il malware Hancitor che consente di accedere alle reti delle vittime sfruttando varie tecniche, come phishing, vulnerabilità di Microsoft Exchange, furto di credenziali o tool RDP (Remote Desktop Protocol).
Dopo aver installato il ransomware, i cybercriminali eseguono un beacon CobaltStrike come servizio via PowerShell. Utilizzando i privilegi di amministratore viene quindi eseguito il ransomware. I file cifrati hanno l’estensione .cuba
. Gli autori dell’attacco chiedono ovviamente il pagamento di un riscatto, minacciando di pubblicare online i dati sensibili.
Purtroppo sembra che l’attacco abbia avuto un discreto successo. Secondo l’FBI, i cybercriminali hanno incassato almeno 43,9 milioni di dollari su un totale di 74 milioni di dollari chiesti come riscatto. L’agenzia governativa consiglia di segnalare gli attacchi e di non pagare nulla.
Nel comunicato ci sono anche alcuni suggerimenti da seguire per ridurre i rischi al minimo: utilizzare password robuste e uniche, attivare l’autenticazione multi-fattore, installare gli aggiornamenti di sicurezza, rimuovere le condivisioni di rete non necessarie, usare un firewall, effettuare backup periodici, utilizzare un tool di monitoraggio e segmentare la rete.