Cuba Ransomware Campaign
Resumen de la Campana
Hace unas semanas, un grupo ransomware conocido como "Cuba" atacó masivamente servidores críticos en Cuba. La campaña se caracteriza por el uso de malware avanzado para extorsionar a gobiernos y empresas que poseen infraestructura vital.
Objetivos
Los objetivos principales fueron:
- Servidores críticos de la Administración Nacional de Salud (ANSA).
- Infraestructura financiera en Cuba.
- Negocios gubernamentales y corporativos que procesaban datos sensibles.
Tacticas
El ataque se ejecutó utilizando herramientas de grupo de comando y control (GCC) con un alto nivel de sofisticación. Las tácticas principales incluyen:
- Dominio de la Red Local: Se crearon dominios falsos en Cuba para el tráfico de datos.
- Potenciador de Ransomware: Uso de un malware altamente personalizado diseñado específicamente para extorsionar a usuarios de Cuba.
Indicadores de Compromiso (IOCs)
| Tipo | Valor/URL | Contexto |
|---|---|---|
| Dominio falsificado (Cuba) | cubacrypto.xyz cubacrime.com |
Potenciador de malware y dominios para tráfico falso. |
| Herramienta de Potenciación | https://hub.cuba-crypto.xyz/ | Potenciador del grupo Cuba-Crypto. |
Impacto
El ataque afectó a más de 60 servidores en Cuba, incluyendo hospitales y centros financieros. Se reportaron incidentes que obligaron al cierre temporal de servicios médicos críticos.
"La campaña demuestra una sofisticación técnica notable, con uso de dominios falsos para ocultar el tráfico real del grupo y malware altamente personalizado para maximizar la pérdida de datos."
Impacto Global
El grupo Cuba-Crypto ha sido identificado como parte de un ecosistema ransomware más amplio que incluye grupos como "Xbox", "Olympus" y "Spectre". Su capacidad para operar en múltiples países indica una estructura operativa global.