Análisis del código dañino de la familia de ransomware Cuba

Fecha de publicación: 10/10/2022

• Ya está disponible en el portal del CCN-CERT el nuevo informe de código dañino ID-10/22 sobre la familia de ransomware Cuba.

El CCN-CERT, del Centro Criptológico Nacional (CCN), ha publicado un nuevo informe de código dañino ID-10/22 que recoge el análisis de la familia de ransomware Cuba. Las primeras muestras de Cuba ransomware emergieron en diciembre de 2019 y en noviembre de 2021 se le atribuían al menos 49 entidades comprometidas a lo largo de cinco sectores relacionados con infraestructuras críticas.

El objetivo del código dañino es cifrar los ficheros de los sistemas que infecta para, posteriormente, negociar el pago de un rescate a cambio de la herramienta de descifrado. Mientras que su implementación es relativamente simple en cuanto a funcionalidad, el esquema de cifrado es robusto y cumple con su cometido.

Los actores que utilizan Cuba ransomware en sus operaciones siguen el modelo de “Big Game Hunting” (BGH) en que, una vez obtienen acceso ilícito a la red interna de una empresa y se mueven de forma lateral, realizan el despliegue masivo de la herramienta de cifrado en tantos sistemas como puedan alcanzar.

El presente documento detalla aspectos técnicos sobre las características de Cuba ransomware, su esquema de cifrado y se adjunta una regla YARA para su identificación.

Más información:

• ID-10/22 Informe código dañino ‘Cuba ransomware’

Atentamente,

Equipo CCN-CERT