Kaspersky a publié, le 11 septembre 2023, une analyse des activités récentes du gang de ransomware Cuba, comprenant notamment une mise à jour de leur malware Burntcigar. Les chercheurs ont identifié cette nouvelle souche chez un de leurs clients, en décembre 2022. Elle permettrait d’échapper aux outils de détection avancée de la plupart des fournisseurs de sécurité.
« Nos dernières découvertes soulignent l’importance de l’accès aux derniers rapports et renseignements sur les menaces. Les gangs de ransomware comme Cuba évoluent rapidement, tout en affinant leurs tactiques, il est donc essentiel de rester à l’avant-garde pour contrer efficacement les attaques potentielles », pointe Gleb Ivanov, expert en cybersécurité chez Kaspersky.
Cuba est un groupe russophone à la victimologie particulièrement étendue. Il cible des secteurs très variés (vente au détail, finance, logistique, agences gouvernementales, industrie…), en Amérique du Nord, Europe, Asie et Océanie. Le gang utilise un mélange d’outils publics et propriétaires pour implanter sa souche unique de ransomware, très difficile à détecter car fonctionnant sans bibliothèques additionnelles.
Cuba met régulièrement à jour ses outils malveillants, et utilise la tactique du « Bring Your Own Vulnerable Driver » (BYOVD). Le groupe pratique la double extorsion : il chiffre et vole les données, privilégiant donc les informations sensibles : documents financiers, relevés bancaires, comptes d’entreprise, code source…
