Las autoridades ucranianas denunciaron un reciente ciberataque, al parecer, ejecutado por Cuba Ransomware o Fidel, detectado desde 2019 y utilizado para robar datos y extorsionar a las víctimas.
El Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) emitió una alerta el pasado 21 de octubre sobre la distribución de correos electrónicos, supuestamente en nombre del Servicio de Prensa del Estado Mayor General de las Fuerzas Armadas, con un enlace a una página web en la que se pide al usuario "DESCARGAR" el archivo ejecutable "AcroRdrDCx642200120169_uk_UA.exe" en su computadora.
Si los destinatarios caen en la estafa y hacen clic en el enlace contenido en el correo electrónico, serán llevados a una página web y se les pedirá que descarguen una nueva versión de PDF Reader.
Al descargarlo, se decodifica y se ejecuta como el archivo "rmtpak.dll" para el robo de datos, alerta el CERT-UA.
La entidad agrega que “teniendo en cuenta el uso de la puerta trasera RomCom, así como otras características de los archivos relacionados, es posible asociar la actividad detectada con la actividad del grupo Tropical Scorpius, también conocido como UNC2596, que es responsable de la distribución del Cuba Ransomware”.
El también conocido como ransomware Fidel, lleva la imagen del exgobernante cubano Fidel Castro y de Ernesto "Che" Guevara y es identificado también con la bandera cubana.
La firma de ciberseguridad estadounidense Palo Alto Networks han documentado que el Cuba Ransomware está activo desde 2019 y ha expuesto a un total de 60 organizaciones en su sitio de filtraciones o "leaks".
Sin embargo, infieren que la cantidad de víctimas es mayor, ya que los operadores de ransomware generalmente no publican los datos si la víctima paga el rescate.
El Buró Federal de Investigaciones de Estados Unidos (FBI) ha cifrado las ganancias del Cuba Ransomware en al menos $ 43,9 millones de pagos de rescate y asegura que han exigido al menos $ 74 millones.