FBI veröffentlicht formelle Mitteilung bezüglich der Cuba-Ransomware

Ende letzter Woche veröffentlichte die Cyber-Abteilung des FBI einen Flash-Alarm bezüglich der Cuba-Ransomware. Ziel des Dokuments war es, das Bewusstsein für die Ransomware-Variante zu schärfen und die Öffentlichkeit über die bisherigen Auswirkungen zu informieren.

Dem Betreiber der Cuba-Ransomware zufolge ist es dem Betreiber der Cuba-Ransomware bislang gelungen, Angriffe gegen „mindestens“ 49 verschiedene Entitäten erfolgreich zu verbuchen. Als Ergebnis dieser Angriffe hat das FBI geschätzt, dass die Gauner, die die Kuba-Ransomware betreiben, "mindestens" unglaubliche 43,9 Millionen Dollar durch den Betrieb ihrer Cyberkriminellen-Bande eingesteckt haben.

Die Cuba-Ransomware zielt auf Windows-basierte Infrastrukturen und Unternehmen ab, die in einer Vielzahl von Sektoren tätig sind, von Finanzen bis hin zu Regierungen, IT und Gesundheitswesen.

Das Vehikel, mit dem die Cuba-Ransomware verbreitet wird, ist am häufigsten die Hancitor-Malware, teilt das FBI weiter mit. Das Hancitor-Tool ist ein relativ beliebter Dropper, mit dem auch andere Arten von Malware verbreitet werden können, von Remote-Access-Trojanern bis hin zu verschiedenen Arten von Ransomware.

Die Hancitor-Betreiber verwenden eine breite Palette von Tools, um auch Zugang zu Netzwerken zu erhalten und diese zu kompromittieren. Diese reichen von Phishing-Versuchen von Mitarbeitern der Opfer über die Verwendung gestohlener Anmeldeinformationen bis hin zum Missbrauch von Remote-Desktop-Tools.

Sobald der Loader die Ransomware auf dem Opfersystem ausgelagert hat, missbrauchen Hacker, die die Cuba-Ransomware betreiben, legitime Windows-Systemtools wie PowerShell, erhalten Administratorrechte und führen die letzte Cuba-Nutzlast aus.

Kuba installiert auch ein Cobalt-Strike-Leuchtfeuer. Cobalt Strike ist ein legitimes Tool zur "Gegnersimulation", das bei Bedrohungsakteuren äußerst beliebt geworden ist.

Zusätzlich zu ihren Fähigkeiten zur Datenvernichtung und Verschlüsselung verwendet die Cuba-Ransomware auch das bösartige Tool MimiKatz, um Anmeldeinformationen zu exfiltrieren und Remote-Desktop zu verwenden, um diese Anmeldeinformationen zu nutzen. Cobalt Strike wird dann verwendet, um zwischen dem kompromittierten RDP-Konto und den Hackern zu kommunizieren.

Obwohl die bösartigen Akteure, die die Cuba-Ransomware betreiben, bisher fast 44 Millionen US-Dollar erbeutet haben, erreichten die Lösegeldforderungen im Verlauf ihrer erfolgreichen Angriffe tatsächlich exorbitante 74 Millionen US-Dollar.