La CISA et le FBI détaillent les activités du groupe Cuba

La CISA et le FBI ont publié un rapport conjoint, le 1er décembre 2022, sur les activités du groupe de rançongiciel russe Cuba. Entre décembre 2021 et août 2022, il a attaqué une centaine d’organisations, dont des agences gouvernementales, des établissements de santé ou des institutions financières (ses cibles principales aux États-Unis).

Cuba est également derrière la spectaculaire attaque qui a touché le gouvernement du Monténégro, en août 2022. En France, le groupe a paralysé, en octobre 2022, les SI de la commune de Chaville (Hauts-de-Seine).

En 9 mois, Cuba a perçu plus de 60 millions de dollars de rançons, sur un total exigé de 145 millions de dollars. Il s’agit là d’un excellent ratio sachant que de nombreux États refusent par principe de verser le moindre centime à des pirates.

« Le nombre d’entités américaines compromises par le ransomware Cuba a doublé, et les rançons demandées et payées sont en augmentation », alertent la CISA et le FBI.

D’un point de vue opérationnel, Cuba utilise notamment des failles connues dans des produits Microsoft, des e-mails de phishing ou le cheval de Troie Hancitor. Le groupe pratique la double extorsion, réclamant d’abord une rançon pour rétablir les serveurs bloqués, puis une seconde pour ne pas publier des données volées.

La CISA et le FBI ont enfin lancé un appel à leur fournir tout renseignement sensible sur le groupe : échanges de communication, adresses IP, portefeuilles Bitcoin etc.