Verbreitet wird die Cuba-Ransomware durch die Hancitor-Malware, um Zugang zu Windows-Systemen zu erhalten. Dieser Loader ist dafür bekannt, Schädlinge wie Remote-Access-Trojaner (RATs) und Ransomware in Netzwerke einzuschleusen. Verbreitet wird sie sowohl über Phishing-E-Mails, Microsoft Exchange-Sicherheitslücken, kompromittierte Anmeldeinformationen oder legitime Remote Desktop Protocol (RDP)-Tools, um ersten Zugriff auf das Netzwerk eines Opfers zu erhalten. Anschließend kommen legitime Windows-Dienste wie PowerShell, PsExec und andere nicht spezifizierte Dienste zum Einsatz, mit denen dann Windows-Administratorrechte ausgenutzt werden können, um die eigentliche Ransomware und andere Prozesse aus der Ferne auszuführen.
Sobald ein Opfersystem kompromittiert ist, installiert die Ransomware ein Cobalt Strike-Beacon und führt es aus, während zwei weitere Dateien heruntergeladen werden. Diese beiden Dateien ermöglichen es Angreifern wiederum, Passwörter auszuspähen und eine TMP-Datei im kompromittierten Netzwerk auszuführen, die Aufrufe des Application Programming Interface (API) durchführt. Anschließend löscht sich die TMP-Datei selbst und das Netzwerk beginnt, mit einem Malware-Repository zu kommunizieren, von dem bekannt ist, dass es sich auf einer URL in Montenegro befindet.
Zudem verwendet die Cuba-Gruppe die Malware MimiKatz, um Anmeldeinformationen zu stehlen, mit denen sie sich dann beim angegriffenen Netzwerk-Host anmelden können. Dies erfolgt über eine RDP-Verbindung, über die die Kriminellen eine Verbindung zwischen dem Cobalt Strike-Server und dem kompromittierten Netzwerk herstellen. Eine der anfänglichen PowerShell-Skriptfunktionen weist dann Speicherplatz zum Ausführen einer base64-codierten Nutzlast zu. Sobald diese Nutzlast in den Arbeitsspeicher geladen wurde, kann sie verwendet werden, um Kontakt zu einem Command-and-Control-Server (C2) herzustellen, über den dann die nächste Stufe der Dateien für die Ransomware heruntergeladen werden.
Neben der Beschreibung der Vorgehensweise fügte das FBI seiner Warnung jeweils ein Muster einer Lösegeldforderung und einer E-Mail hinzu, die die Opfer erhalten. Interessant ist auch, dass die Cuba-Ransomware-Gruppe, obwohl schon seit Jahren aktiv, seit Anfang des Jahres eine Leak-Seite im Internet betreibt. Über diese Seite veröffentlicht die Gruppe erbeutete Daten, sollte das Opfer nicht zahlen. Damit reihen sie sich in eine zunehmende Zahl an Ransomware-Gruppen ein, die sich dadurch einen weiteren Hebel verschaffen, mit dem sie ihre Opfer unter Druck setzen. Laut dem Hersteller von Sicherheitssoftware, McAfee, sind auch einige Fälle bekannt, in denen gestohlene Daten verkauft wurden. Die Gruppe zielt in der Regel auf Unternehmen in den USA, Südamerika und Europa ab.
Besonders überraschend an diesem Fall ist die Erfolgsquote der Hacker-Gruppe, denn 43,9 Millionen US-Dollar sind eine extrem hohe Ausbeute für eine vergleichsweise geringe Zahl an Angriffen – auch im Vergleich zu anderen Ransomware-Gruppierungen. Das Sicherheitsunternehmen Emsisoft registrierte beispielsweise nur etwa 105 Angriffe der Cuba-Gruppe in diesem Jahr. Die wesentlich bekanntere Conti-Ransomware-Gruppe kam hingegen auf 653 Angriffe. Daraus lassen sich auch Rückschlüsse auf die Schadenssummen ziehen, die Jahr für Jahr durch Ransomware entstehen. Wenn ein vergleichsweise kleiner Akteur bereits derart hohe Summen erbeuten kann, könnten die Gewinne anderer, größerer Gruppen noch deutlich darüberliegen – auch über den bisher bekannten Lösegeldsummen.