Por Alejandra Izaguirre Hernandez
El Glosario de Términos (CCN-STIC 401) cuenta con distintas definiciones recogidas de distintas fuentes para explicar qué es lo que se entiende como código dañino o malicioso (también se le conoce como malware malicious software o badware). De todas ellas podemos concluir que el código dañino es un programa diseñado para infiltrarse en o directamente dañar un ordenador sin el consentimiento de su dueño con el objetivo de explotar sus vulnerabilidades. Dentro de esta definición se engloban los virus, gusanos, troyanos, spyware, adware y rootkits (programa utilizado por hackers para tomar control sobre el ordenador o la red objetivo).
A su vez, dentro del término código dañino se pueden distinguir distintas familias, siendo una de ellas la familia de ransomware Cuba. Éste ransomware en concreto cifra los ficheros de los sistemas que infecta para, a continuación, intentar negociar con el dueño del sistema el pago de un rescate a cambio de la posibilidad de descifrar dichos ficheros. Así, los hackers comprometen la red de una víctima mediante el cifrado de archivos de destino con la extensión “.cuba”. En esos ficheros cifrados se incluye una nota de rescate con títulos como “!! READ ME !!.txt” donde se facilitan los datos de contacto de los operadores de Cuba Ransomware, además de un portal de leaks donde se publicarían los datos sensibles sustraídos del sistema afectado.
La primera vez que se empezó a emplear Cuba ransomware fue en diciembre de 2019 y en noviembre de 2021 y se le atribuían al menos 49 entidades comprometidas a lo largo de cinco sectores relacionados con infraestructuras críticas, incluyendo, pero no limitado a los sectores financiero, gubernamental, sanitario, manufacturero y de tecnología de la información.
En el portal del CCN-CERT puedes encontrar el nuevo informe de código dañino ID-10/22 sobre la familia de ransomware Cuba, o puedes leerlo directamente pinchando AQUÍ. En él se explica detalladamente el proceso de infección, desde cómo se adentra en el ordenador hasta cómo se ejecuta, pasando por cómo proceder ante el rescate, el proceso de desinfección, las reglas de detección (la regla yara, herramienta de código abierto destinada a ayudar a identificar y clasificar malwares) y los indicadores de compromiso.