Novedades - Title-Box

Novedades

Noticias, alertas y reportes que ayudan a mantenerte informado

  1. Inicio
  2. Servicios
  3. Contacto

CUBA RANSOMWARE APUNTA A AGENCIAS GUBERNAMENTALES UCRANIANAS

 

CUBA RANSOMWARE APUNTA A AGENCIAS GUBERNAMENTALES UCRANIANAS

25/10/2022    

BOLETÍN NRO 2022-616

Recientemente el equipo de respuesta a emergencias informáticas de Ucrania (CERT-UA) ha emitido una alerta sobre posibles ataques de Cuba Ransomware contra redes críticas en el país, a través de una campaña de phishing.

 

Servicios Afectados

• Sistemas operativos Windows

 

Detalles Tecnicos

CVE: ---

  

                                 Severidad:   CRÍTICA

  

A partir del 21 de octubre, CERT-UA observó una nueva ola de correos electrónicos de phishing que se hacían pasar por el Servicio de Prensa del Estado Mayor General de las Fuerzas Armadas de Ucrania, instando a los destinatarios a hacer clic en un enlace incrustado.

El enlace lleva al destinatario a una página web de un tercero para supuestamente descargar un documento llamado "?????_309.pdf", pero se muestra una alerta falsa que indica que el visitante debe actualizar primero su software de lectura de PDF.

Posteriormente, el sitio web insta al visitante a hacer clic en el botón "DESCARGAR", que produce la descarga de un ejecutable ("AcroRdrDCx642200120169_uk_UA.exe") que se asemeja a un instalador de Acrobat Reader.

Sin embargo, ejecutar este archivo instalará y ejecutará el archivo DLL "rmtpak.dll", que es el malware característico de Cuba Ransomware conocido como "ROMCOM RAT". Asimismo, ROMCOM fue descubierto por primera vez por investigadores de seguridad en agosto de 2022, nombrando a la filial de Cuba Ransomware que usaba el nuevo malware como "Tropical Scorpius".

Este malware permite a los ciberdelincuentes a realizar el robo datos, generar procesos falsificados, iniciar shells inversos entre otras funciones.

En septiembre de 2022, se reveló que Cuba Ransomware había llegado al pequeño país balcánico de Montenegro, exigiendo el pago de un rescate de 10,000,000 dolares. Si bien a ese incidente inicialmente se le dio un matiz geopolítico, Cuba Ransomware no se encuentra entre los ciberdelincuentes que han declarado interés en el hacktivismo, y tampoco tomaron partido en el conflicto entre Rusia y Ucrania.

Indicadores de Compromiso  

IP

45[.]158[.]38[.]74

45[.]87[.]155[.]99

69[.]49[.]231[.]103 Dominio

4qzm[.]com

combinedresidency[.]org

advanced-ip-scaner[.]com

advanced-ip-scanners[.]com

www[.]get[.]adobe[.]com[.]aspx[.]io

gov[.]mil[.]ua[.]aspx[.]io

mil[.]ua[.]aspx[.]io

ua[.]aspx[.]io

aspx[.]io

mill[.]co[.]ua

notfiled[.]com URL

hxxps[:]//tinyurl[.]com/3y7pnhh4

hxxps[:]//unit42[.]paloaltonetworks[.]com/cuba-ransomware-tropical-scorpius/

hxxp[:]//advanced-ip-scanners[.]com/advancedipscanner[.]msi

hxxps[:]//advanced-ip-scaner[.]com/download/

hxxp[:]//combinedresidency[.]org[:]4444/

hxxp[:]//4qzm[.]com[:]4444/

hxxp[:]//notfiled[.]com[:]4444/

hxxps[:]//www[.]get[.]adobe[.]com[.]aspx[.]io/reader/download[.]php

hxxps[:]//gov[.]mil[.]ua[.]aspx[.]io/mail/attachment/?????_309[.]pdf HASH

MD5: 62d99110a03c33157a2c844ed5ddec11

SHA256: a2511c5c2839bfbdf9c0f84f415d5eae168456e5d3f77f1becdbcd69fba4daa4

MD5: 32b4d8b58dde0bdc372dbb41a856c46c

SHA256: c116a0aafdc2765e38b4f5efdf89960997abf0db81daa8f5380ce3c893e9af96

MD5: f31620e7e22a30f408e5d683922f5029

SHA256: 068117b406940ac510ed59efd1d7c7651f645a31bd70db6de16aba12c055aae6    

MD5: 5f5c18e98e5c8a5a50a1e122221f61dd

SHA256: 4fc9202ff84ef84b8c5e6140b66ac3d04570daf886a7f1ae31661ade882f963e

MD5: a785462b81ad66922c7128b0fe40b448

SHA256: 494b43198db467f506e9857f39ebe8f8bf6d871776eba092a7e2f2140046e16d

MD5: c78f9b945b91fee7b2d9d4d41e7dade5

SHA256: 59f0c3b7890f11217ad37764f225cd1c9d27747495d80dadde40b78edfbfa21e

MD5: 6d7a47c27cf381cf386e311e6363020f

SHA256: ac800a17dced2dcaa6be68dd0ac09e38b10c5e1c7ac0623bcb923cb17e447c55

MD5: 04972228302e569da856e4fa45f679ed    

SHA256: e80d80521238008bf6f429e072eaf6030c06e2d3123d03ea9b36f5a232a1ec90

MD5: ef2483810ed58dbfee7568be65a48872

SHA256: 61e349518ca3f10d1e7aae0be95bc43dc23843c8acf177831cdfd48f26a07c72

MD5: f77af383bbec2e637e1d42efea742e8f

SHA256: 997e54360fdc3d45f8fb2612b2936394d20e8ae84a0dd073562ba9d6ea5825ad

MD5: 2896c334f4ef21aec24596ae13f9b692

SHA256: 3e3a7116eeadf99963077dc87680952cca87ff4fe60a552041a2def6b45cbeea

MD5: f206e4c4c0b21ea47fb51d4f04c42d61

SHA256: 983833334d168cd4274467f48171489e019b86b51e687738565a93dd3f58d0aa

MD5: de239ac43508c4fd4c9069a9b6a4a3f8

SHA256: 05681ff7cae6b28f5714628a269caa5115da49c94737ce82ec09b4312e40fd26

MD5: 3d9022126f8e43eb0e9d041b05c7fa54

SHA256: 892d7725d798a0bea0a80245057183dbf53dceb729985de2d1653316b72b3fde

MD5: e699ff001dad735130cca18d832442a3

SHA256: f59b81fda6ba719cefa74145e15d7044fb9da1faa8f09ce912e83a8a7ae60bb6

MD5: 66ecb729fd1993d3f54e2e0936eb3515

SHA256: 28950cff484550312f2c91e17d7da89300981f17b19a7cd9c5432a4b76e281d2

MD5: dba03c29dd6099af5aae7a1163a8fd5e

SHA256: 28b2a0f5441a5c50c73bb2044e48c7e404b848b84da9d1043771c783e17647d8

MD5: 2630e8d2216a99e91fd5247decba3127

SHA256: 64a4a5d818fa030b5f2c4e1babaee4c58d2677e9ef3a0ecf1d99070f186e041f

MD5: 74d9ecec3c02370b5606ab354893d7b3

SHA256: 4f4949f7203b1d0b93adfabde5ef9d86cd8921f8524534fb4f2c1d5cd5cd10b4

MD5: a5d08548d5a1d72f5c42dfd3275efe39

SHA256: c149474f97140c3381bda3ad2451f253e08e7ad4be76a68ac3a6f15bc4bd4e63

MD5: ef96b8c7139d6014dc84a21b433f504a

SHA256: 40c29c2e691f28844092da318ef557f518b2e34b80529c4a12affad2e49958b0

MD5: 71d0715284a402aaf5dc2a1158d2188e

SHA256: 71b83ad71745cd7bf5a367694dbecff620367d9019c6baabbf794376360f9a06

MD5: 4c1579c6a14bb8f3985be8a1a83c731c

SHA256: f94998b90a28c678e4ed6bdf851f339e02a58369435b20ad62858e0ea5bc8eba

  

Recomendaciones

Se recomienda a nuestros clientes que cuenten con los servicios que puedan verse afectados, seguir las siguientes acciones preventivas para reducir riesgos:

Para el personal de seguridad de información:

• Implementar filtrado y segmentación entre redes y utilizar principio de mínimo privilegios. • Considerar deshabilitar PowerShell o monitorear su ejecución, evitando que pueda ser aprovechado por softwares maliciosos. • Mantener un protocolo estricto para realizar copias de seguridad de los activos de información de mayor criticidad.

• Mantener un protocolo de actualizaciones estricto de sistemas operativos, antivirus y todas las aplicaciones que se ejecutan en ellos.

• Concientizar constantemente a los usuarios en temas relacionados a seguridad informática.

• Mantener el conocimiento situacional de las últimas amenazas y zonas vulnerables de la organización.

• Bloquear los indicadores de compromisos (IOC) mostrados, en los dispositivos de seguridad de su infraestructura.

** Antes de realizar el bloqueo de IoCs o aplicar actualizaciones es importante que previamente en ambiente de desarrollo se valide y confirme a nivel de servicios, con el propósito de aplicar los cambios de manera controlada.

Para usuarios finales:

• No abrir correos electrónicos de dudosa procedencia (remitente desconocido), ni dar clic en enlaces, ni descargar archivos adjuntos desconocidos.

• Escanear todo el software descargado de Internet antes de la ejecución.

• De detectar cualquier actividad anómala en su equipo reportarlo inmediatamente a los encargados de seguridad de la información de su institución.

 

Fuente

Contáctanos

Si usted tiene alguna consulta no dude en contactarse con nosotros: 

Perú:
Consultas técnicas: monitoreo_pe@securesoftcorp.com 
Consultas comerciales: ventas@securesoftcorp.com

Ecuador:
Consultas técnicas: monitoreo_ec@securesoftcorp.com
Consultas comerciales: ventas_ec@securesoftcorp.com

Colombia:
Consultas técnicas: monitoreo_co@securesoftcorp.com
Consultas comerciales: ventas_co@securesoftcorp.com

Chile:
Consultas técnicas: monitoreo_cl@securesoftcorp.com
Consultas comerciales: ventas_cl@securesoftcorp.com


 

Asset Publisher

Reporte

125 Reporte Quincenal de Ciberinteligencia 2025

Seguir leyendo

Reporte

124 Reporte Quincenal de Ciberinteligencia 2025

Seguir leyendo

Reporte

123 Reporte Quincenal de Ciberinteligencia 2025

Seguir leyendo

Asset Publisher