BlackBerry ha dado a conocer el descubrimiento de nuevas herramientas empleadas por el grupo de ransomware conocido como 'Cuba'.
Esta pandilla, que se encuentra en su cuarto año de operaciones y no muestra señales de desaceleración, ha llevado a cabo una serie de ataques de alto perfil en diversos sectores, desplegando tácticas que han dejado perplejos a los expertos en ciberseguridad. El equipo de Investigación e Inteligencia de Amenazas de BlackBerry ha desentrañado estos nuevos desarrollos en su más reciente análisis.
En lo que va del año 2023, los perpetradores de este ransomware han dejado su marca en la comunidad de ciberseguridad con una serie de ataques bien ejecutados. La creciente amenaza de este grupo ha llevado a la comunidad de expertos a investigar y revelar la naturaleza de sus tácticas y herramientas.
Los investigadores de BlackBerry se centran en una campaña que tuvo lugar en junio. Esta culminó con una serie de ataques a una organización en el sector de infraestructuras críticas en EE.UU. y a un integrador de tecnología en Latinoamérica.
El grupo Cuba, cuyo origen se cree que es ruso, ha empleado un conjunto de herramientas que se superponen con sus campañas anteriores, además de introducir nuevas herramientas, incluyendo el primer uso conocido de un exploit para la vulnerabilidad de Veeam CVE-2023-27532.
Es importante destacar que antes de publicar este informe, BlackBerry compartió esta información de manera privada con las autoridades pertinentes.
Origen y modus operandi
La pandilla Cuba, también conocida como 'Colddraw', se ha mantenido activo desde 2019 y ha demostrado su habilidad para seleccionar cuidadosamente sus objetivos. Se les atribuye un centenar de ataques solo en 2022.
Aunque su nombre sugiere una conexión con Cuba, los expertos creen que es poco probable que esté relacionado con la nación caribeña. En cambio, se ha vinculado con actores de amenazas rusos debido a ciertas pistas lingüísticas y detalles de traducción.
El grupo Cuba ha utilizado una variedad de tácticas a lo largo de los años, consistentes en la explotación de vulnerabilidades, el uso de marcos de prueba de penetración legítimos como Cobalt Strike y Metasploit, y la implementación de herramientas de ataque personalizadas. También se ha descubierto que el grupo utiliza la técnica de doble extorsión, en la que amenazan con exponer datos robados en caso de no recibir el pago de un rescate.
El análisis técnico realizado por BlackBerry destaca la reutilización de credenciales como parte de su esquema de ataque. Los operadores del grupo han utilizado herramientas como BUGHATCH, Metasploit DNS Stager y BYOVD (Bring Your Own Vulnerable Driver) para obtener acceso inicial y persistencia en los sistemas comprometidos. Además, el informe detalla una serie de tácticas empleadas por el grupo para evadir la detección y mantener su presencia en los sistemas de las víctimas.