Selon le FBI et la CISA (Cybersecurity and Infrastructure Security Agency), le rançonlogiciel baptisé « Cuba ransomware » a permis à ses propriétaires d'extorquer 60 millions de dollars à de nombreuses victimes cette année.

Le Cuba ransomware fait des ravages

Les faits se sont déroulés entre décembre 2021 et août 2022, selon un avis publié par la CISA et le FBI. L'année dernière déjà, le FBI révélait que le gang propriétaire du Cuba ransomware avait volé près de 44 millions de dollars en réclamant des rançons à leurs victimes. Les cybercriminels s'étaient attaqué à 49 entités aux États-Unis. Au cours de l'année qui vient de s'écouler, le gang a volé plus de 60 millions de dollars supplémentaires grâce à des attaques contre une centaine d'organisations dans le monde.

Cette somme représente environ la moitié des 145 millions de dollars que les cybercriminels ont exigé auprès de leurs victimes. Depuis la publication du FBI Flash de décembre 2021, le nombre d'entités américaines compromises par le ransomware Cuba a doublé, et les rançons demandées et payées sont en augmentation, salon les deux agences fédérales. Les propriétaires du Cuba ransomware, actifs depuis 2019, continuent de cibler des entités américaines « critiques » : des services financiers, des agences gouvernementales, des établissements de soins de santé ou encore des entreprises spécialisées dans des technologies sensibles.

En août 2022, le gang a été lié à une attaque par ransomware visant le Monténégro. Selon les autorités locales, le pays a été est visé par une cyberattaque de grande ampleur. Pour faire face à cette situation, le Monténégro avait même fait appel à l’aide internationale. La France avait même promis d'apporter son expertise en matière de cybersécurité aux institutions gouvernementales du Monténégro. L'ambassade des États-Unis installée à Podgorica, avait conseillé aux citoyens résidant dans l'État des Balkans de limiter leurs déplacements et de ne pas prendre de risque.

Le gang derrière le Cuba ransomware avait affirmé avoir obtenu « des documents financiers, de la correspondance avec des employés de banque, des mouvements de comptes, des bilans, des documents fiscaux et du code source du parlement du Monténégro ». Le Cuba ransomware a également été lié à une violation du Department of Motor Vehicles en Californie, en avril 2022. Le FBI et la CISA ajoutent que le groupe derrière le ransomware a modifié ses tactiques depuis le début de l'année et que les cybercriminels sont désormais liés au malware RomCom, un cheval de Troie qui permet de prendre le contrôle à distance d'un ordinateur.