Mesmo um ransomware inativo pode gerar grandes problemas
Gangue cubana dobrou número de entidades americanas comprometidas desde dezembro de 2021, com resgates exigidos e pagos em aumento significativo. Grupo expandiu técnicas incluindo RomCom RAT e ransomware Industrial Spy, focando em cinco setores críticos: Financeiro, Governo, Saúde, Fabricação e TI.
- Gangue cubana arrecadou mais de US$ 60 milhões em resgates em 2022
- Mais de 100 entidades comprometidas em todo o mundo
- Número de vítimas americanas dobrou desde dezembro de 2021
- Cinco setores críticos visados: Financeiro, Governo, Saúde, Fabricação e TI
O FBI e CISA emitiram alerta sobre gangue cubana especializada em ransomware que comprometeu mais de 100 vítimas globais e arrecadou US$ 60 milhões em resgates durante 2022, expandindo táticas e visando infraestruturas críticas americanas.
Em dezembro de 2021, o FBI emitiu seu primeiro alerta sobre uma operação de ransomware originária de Cuba. Um ano depois, a agência e a CISA — a Agência de Segurança de Infraestrutura e Cibersegurança — precisaram voltar ao assunto com notícias muito piores. O grupo havia dobrado o número de vítimas americanas. Os resgates exigidos e efetivamente pagos haviam crescido. E o dinheiro total extraído em 2022 chegava a mais de 60 milhões de dólares.
Os números revelam a escala da operação. Mais de 100 entidades em todo o mundo foram comprometidas. O grupo não escolhia aleatoriamente seus alvos. O FBI documentou um padrão claro: cinco setores críticos da infraestrutura americana estavam sendo sistematicamente visados — instituições financeiras, órgãos governamentais, organizações de saúde e saúde pública, fabricantes e empresas de tecnologia da informação. Cada um desses setores representa um ponto de pressão diferente, um lugar onde a criptografia de dados causa dano máximo.
A sofisticação da operação está nos detalhes de como ela funciona. O grupo usa um malware chamado Hancitor para ganhar acesso inicial a redes corporativas já comprometidas. Esse primeiro passo geralmente vem por e-mail de phishing, ou através de credenciais roubadas, ou explorando vulnerabilidades no Microsoft Exchange, ou usando ferramentas de acesso remoto. Uma vez dentro, os agentes da ameaça aproveitam serviços legítimos do Windows — ferramentas que já existem no sistema — para criptografar os arquivos das vítimas. Quando o trabalho está feito, os arquivos ganham a extensão ".cuba", uma assinatura que deixa claro quem foi responsável.
O que torna essa operação particularmente preocupante é como ela evoluiu. Desde o início de 2022, o grupo expandiu suas táticas e técnicas. Começou a usar o RomCom Remote Access Trojan, um programa que permite acesso persistente aos sistemas das vítimas. Também passou a empregar um ransomware chamado Industrial Spy, que não apenas criptografa dados mas também os rouba antes da criptografia — criando uma dupla ameaça. Se a vítima se recusa a pagar, o grupo ameaça vender ou publicar os dados roubados.
Há um sinal que poderia ser interpretado como encorajador. Os dados do ID-Ransomware, um serviço que rastreia submissões de amostras de malware, mostram que as atividades desse grupo específico estão se tornando menos frequentes. Mas esse alívio é relativo. Mesmo um ransomware que está operando em ritmo reduzido continua causando danos graves. Uma única infecção bem-sucedida pode paralisar operações críticas, comprometer dados sensíveis de milhões de pessoas e forçar organizações a escolher entre pagar resgate ou perder tudo.
O alerta conjunto do FBI e CISA é um reconhecimento de que essa ameaça não desapareceu. Ela apenas mudou de forma. O grupo continua inovando, continuando a testar novas ferramentas e abordagens. E enquanto as agências federais americanas monitoram e documentam essas atividades, as organizações em todo o mundo precisam estar preparadas para o fato de que essa gangue cubana — e outras como ela — continuarão procurando por pontos fracos em suas defesas.
Notable Quotes
Desde o lançamento do alerta em dezembro de 2021, o número de entidades americanas comprometidas pelo ransomware cubano dobrou, com resgates exigidos e pagos aumentando— FBI e CISA
O FBI observou que os agentes de ransomware de Cuba continuam visando entidades dos EUA nos seguintes cinco setores críticos de infraestrutura: Serviços Financeiros, Instalações Governamentais, Saúde e Saúde Pública, Fabricação e Tecnologia da Informação— FBI
The Hearth Conversation Another angle on the story
Por que um grupo baseado em Cuba consegue operar dessa forma por tanto tempo sem ser desmantelado?
Porque ransomware é um negócio transnacional. O dinheiro passa por criptomoedas e contas em jurisdições que não cooperam com investigações americanas. O grupo não precisa estar fisicamente em Cuba para operar — pode estar em qualquer lugar com conexão à internet. E mesmo que o FBI saiba quem são, a extradição é praticamente impossível.
Esses números — 60 milhões de dólares — parecem enormes. Mas quantas organizações realmente pagam?
Mais do que você esperaria. Quando um hospital tem seus sistemas criptografados e pacientes precisam de atendimento, o hospital paga. Quando uma instituição financeira perde acesso aos seus dados, paga. O custo de não pagar — em vidas, em confiança pública, em danos operacionais — às vezes é maior que o resgate.
O alerta diz que as atividades estão menos frequentes. Isso significa que o grupo está enfraquecendo?
Não necessariamente. Pode significar que estão sendo mais seletivos, focando em alvos maiores e mais lucrativos. Ou pode ser que estejam mudando de ferramentas e deixando menos rastros. Menos submissões de amostras não significa menos dano — pode significar apenas que estão sendo mais cuidadosos.
Por que eles expandiram para o Industrial Spy se já tinham sucesso com ransomware simples?
Porque o ransomware simples está ficando menos eficaz. Mais organizações fazem backup de seus dados. Mais têm planos de recuperação. Então o grupo adicionou o roubo de dados — agora eles têm duas alavancas. Pagam pelo resgate ou pagam pelo silêncio sobre os dados roubados.
O que uma organização deveria fazer depois de ler esse alerta?
Assumir que estão no alvo. Revisar seus logs de acesso remoto. Verificar se há credenciais comprometidas. Testar seus backups. E reconhecer que nenhuma defesa é perfeita — então também precisam de um plano para quando, não se, forem comprometidas.