Le gang cubain de rançongiciels a extorqué plus de 60 millions de dollars de rançons aux victimes entre décembre 2021 et août 2022, a averti un avis conjoint de la CISA et du FBI.
Le dernier avis fait suite à une alerte flash publiée par le FBI en décembre 2021, qui a révélé que le gang avait gagné près de 44 millions de dollars en paiements de rançon après des attaques contre plus de 49 entités dans cinq secteurs d’infrastructure critiques aux États-Unis. . Depuis, le gang de rançongiciels de Cuba a rapporté 60 millions de dollars supplémentaires grâce à des attaques contre 100 organisations dans le monde, soit près de la moitié des 145 millions de dollars qu’il a exigés en rançons de la part de ces victimes.
« Depuis la publication du FBI Flash de décembre 2021, le nombre d’entités américaines compromises par Cuba ransomware a doublé, avec des rançons demandées et payées en augmentation », ont déclaré jeudi les deux agences fédérales.
Les acteurs cubains des rançongiciels, qui sont actifs depuis 2019, continuent de cibler les entités américaines dans les infrastructures critiques, notamment les services financiers, les installations gouvernementales, les soins de santé et la santé publique, la fabrication critique et les technologies de l’information.
En août de cette année, le gang a été lié à une attaque de ransomware ciblant l’État-nation du Monténégro qui ciblait les systèmes gouvernementaux et d’autres infrastructures et services publics essentiels, notamment l’électricité, les systèmes d’approvisionnement en eau et les transports. Au moment de l’attaque, le gang de rançongiciels de Cuba a affirmé avoir obtenu « des documents financiers, de la correspondance avec des employés de banque, des mouvements de compte, des bilans, des documents fiscaux, des indemnisations [and] code source » du parlement du Monténégro.
Cuba a également été liée à une violation du département californien des véhicules à moteur en avril de cette année, qui a vu les attaquants compromettre les registres d’immatriculation des véhicules californiens contenant les noms, adresses, numéros de plaque d’immatriculation et numéros d’identification des véhicules.
Le FBI et la CISA ont ajouté que le gang de ransomwares a modifié ses tactiques, techniques et procédures depuis le début de l’année et a été lié au malware RomCom, un cheval de Troie d’accès à distance personnalisé pour la commande et le contrôle, et au ransomware Industrial Spy.
L’avis note que le groupe – que la société de cybersécurité Profero a précédemment lié à des pirates informatiques russophones – extorque généralement les victimes en menaçant de divulguer des données volées. Alors que ces données étaient généralement divulguées sur le site de fuite du Web sombre de Cuba, il a commencé à vendre des données volées sur le marché en ligne d’Industrial Spy en mai de cette année.
La CISA et le FBI exhortent les organisations à risque à accorder la priorité à la correction des vulnérabilités exploitées connues, à former les employés à repérer et à signaler les attaques de phishing et à activer et appliquer une authentification multifacteur résistante au phishing.
La publication de CISA et de l’avis du FBI intervient alors que le gang de rançongiciels de Cuba continue de répertorier de nouvelles victimes sur son site Web. Les ajouts les plus récents incluent Generator Power, une société de location de générateurs basée au Royaume-Uni, et la société allemande de surveillance des médias Landau Media.