במסגרת מאמצי #StopRansomware בקמפיין פרסום מידע אודות כופרות, דיווחו הסוכנות לאבטחת סייבר ותשתיות (CISA) וה- FBI על כופרה חדשה בשם קובה. למרות ששמה קובה, לכופרה ולמפעיליה אין קשר ידוע למדינה. מאז פרסום זה, הוכפל מספר הארגונים בארה"ב אשר דיווחו על פגיעה מכופרת קובה. כמו כן, התגלה גם קשר אפשרי בין מפעילי כופרת קובה לבין כנופיות האקרים RomCom RAT (גישת Trojan מרחוק) ומפעילי כופרות ריגול תעשייתי.
כופרת קובה הינה למעשה נוזקה של Windows שנכתבה בשפת C++. כמו כנופיות כופרה אחרות, משתמשת כנופיית כופרת קובה בטקטיקות סחיטה כפולה ומכוונת בעיקר לארגונים בארה"ב בחמישה מגזרי תשתית קריטיים: ייצור, שירותים פיננסיים, מתקנים ממשלתיים, שירותי בריאות ובריאות הציבור, טכנולוגיית מידע. כל המידע הרגיש שנגנב מתפרסם באתר ההדלפה שלהם ונגיש רק באמצעות דפדפן Tor – כלי מקוון המאפשר גלישה אנונימית.
כופרת קובה מגיעה לרשתות היעד באמצעות דוא"ל ספאם, כלומר מיילים הנשלחים לארגונים ללא נמען ספציפי. במתקפות עדכניות יותר נצפתה כופרת קובה מותקנת ברשתות היעד על ידי הורדת הנוזקה Hancitor (הידועה גם בשם Chancitor). הודעת הספאם מכילה קישור להורדה שבו ניתן להוריד ולפתוח מסמך Word עם פקודות מאקרו זדוניות. במידה והקורבן מפעיל את המאקרו, המסמך מחלץ ומוציא לפועל את Hancitor. הנוזקה מתקשרת עם שרת פקודה ושליטה מרוחק כדי להוריד כלי פריצה נוספים אשר מיועדים להקלה על התנועה ברשת וגניבת מידע. לאחר מכן מורדת ומותקנת כופרת קובה באמצעות PowerShell או PsExec.
כופרת קובה כבר הייתה מעורבת במספר מתקפות ראויות לציון: בפברואר 2021, היא פגעה במעבד התשלומים אשר בשימוש נרחב בשירותי העברת כספים אוטומטיים (AFTS) והשפיעה על ערים וסוכנויות בוושינגטון ובקליפורניה. באוקטובר 2022, התחזו אנשי כנופיית כופרת קובה ללשכת העיתונות של המטה הכללי של הכוחות המזוינים של אוקראינה במסע דיוג.
CISA וה- FBI פרסמו הנחיות למנהלי רשתות במטרה לצמצם את סיכוני ההתקפה מכופרת קובה: הטמעת מערכת גיבוי ושחזור כל המידע, בדיקה כי כל חשבונות המשתמשים עומדים בתקני המכון הלאומי לתקנים וטכנולוגיה, הפעלת אימות רב-גורמי (MFA) בכל החשבונות ובמיוחד באלו הניגשים למערכות קריטיות, עדכון כל התוכנות לגירסאות העדכניות שלהן ובעיקר הטמעת עדכוני אבטחה, ניטור חשבונות משתמשים ובייחוד אלו בעלי הרשאות ניהול.
