FBI sender en formel meddelelse om Cuba Ransomware
I slutningen af sidste uge udgav FBI's cyberdivision en flash-alarm vedrørende Cuba-ransomware. Formålet med dokumentet var at øge bevidstheden om ransomware-varianten og informere offentligheden om den indflydelse, den har haft indtil videre.
Ifølge flash-alarmen har den part, der driver Cuba-ransomwaren, indtil videre formået at score vellykkede angreb mod "mindst" 49 forskellige enheder. Som et resultat af disse angreb har FBI anslået, at de skurke, der driver Cuba-ransomwaren, har "mindst" sænket svimlende $43,9 millioner fra at drive deres cyberkriminelle bande.
Cuba-ransomwaren er rettet mod Windows-baseret infrastruktur og enheder, der opererer inden for en bred vifte af sektorer, fra finans til regering, IT og sundhedspleje.
Køretøjet, der bruges til at sprede Cuba-ransomwaren, er oftest Hancitor-malwaren, oplyser FBI yderligere. Hancitor-værktøjet er en relativt populær dropper, der også bruges til at sprede andre former for malware, lige fra trojanske heste med fjernadgang til forskellige stammer af ransomware.
Hancitor-operatørerne bruger en bred vifte af værktøjer til også at få adgang og kompromittere netværk. Disse spænder fra forsøg på phishing-ofres medarbejdere til at bruge stjålne legitimationsoplysninger og misbruge fjernskrivebordsværktøjer.
Når indlæseren har aflastet ransomwaren på offersystemet, fortsætter hackere, der betjener Cuba ransomware, med at misbruge legitime Windows-systemværktøjer såsom PowerShell, opnå administratorrettigheder og udføre den endelige Cuba-nyttelast.
Cuba installerer også et Cobalt Strike beacon. Cobalt Strike er et legitimt "adversary simulation"-værktøj, der er blevet ekstremt populært blandt trusselsaktører.
Ud over dets datadestruktion og krypteringsfunktioner anvender Cuba ransomware også det ondsindede MimiKatz-værktøj til at eksfiltrere legitimationsoplysninger og bruge fjernskrivebord til at udnytte disse legitimationsoplysninger. Cobalt Strike bruges derefter til at kommunikere mellem den kompromitterede RDP-konto og hackerne.
Selvom de dårlige aktører, der driver Cuba-ransomwaren, indtil videre har høstet næsten 44 millioner dollars, nåede de samlede krav om løsepenge i løbet af deres vellykkede angreb faktisk ublu 74 millioner dollars.
