Cyberthreat.id – Biro Investigasi Federal (FBI) dan Badan Keamanan Infrastruktur dan Keamanan Siber (CISA), mengungkapkan bahwa serangan ransomware Cuba pada infrastruktur kritis terus berlanjut pada tahun 2022.

Dikutip dari Security Week, ransomware ini telah digunakan dalam serangan yang menargetkan organisasi di sektor keuangan, pemerintah, kesehatan, IT, dan manufaktur. Tercatat, lebih dari 100 organisasi menjadi korban dari serangan ransomware ini.

“Sejak musim semi 2022, aktor ransomware Cuba telah memodifikasi TTP dan alat mereka untuk berinteraksi dengan jaringan yang disusupi dan memeras pembayaran dari para korban,” kata CISA dan FBI dalam laporan terbarunya.

Menurut lembaga keamanan tersebut, pelaku ancaman terus mengkompromikan jaringan target melalui kerentanan perangkat lunak yang diketahui, phishing, kredensial yang dicuri, dan alat protokol desktop jarak jauh (RDP) yang sah. Mereka juga berusaha meningkatkan hak istimewa pada sistem yang disusupi.

Operator ransomware Cuba telah diamati mengeksploitasi CVE-2022-24521 (kerentanan pada driver Windows CLFS), menggunakan skrip PowerShell untuk pengintaian, menggunakan KerberCache untuk mengekstrak tiket Kerberos yang di-cache, dan mengeksploitasi CVE-2020-1472 (ZeroLogon) untuk mendapatkan domain hak istimewa administratif.

“Aktor ransomware Cuba menggunakan alat untuk menghindari deteksi sambil bergerak secara lateral melalui lingkungan yang disusupi sebelum mengeksekusi ransomware Kuba,” catat kedua agensi tersebut.

Selain mengenkripsi file korban, pelaku ancaman juga akan mengekstraksi data dan mengancam akan merilisnya ke publik jika pembayaran uang tebusan dilakukan oleh korban.

Dalam laporan Agustus 2022, Palo Alto Networks mencatat bahwa operator ransomware Kuba telah mulai menggunakan RomCom RAT untuk perintah-dan-kontrol (C&C). Malware ini dikenal menargetkan pialang makanan, organisasi militer asing, organisasi TI, dan produsen.

Operator ransomware Cuba mungkin juga menggunakan ransomware Industrial Spy dan telah diamati menggunakan pasar online Industrial Spy untuk menjual data yang diambil dari para korban. Pelaku ancaman juga tampaknya terlibat dalam serangan yang mengganggu di Montenegro, yang dikaitkan dengan peretas yang terkait dengan Rusia.