Το FBI δημοσιεύει επίσημη ειδοποίηση σχετικά με το Cuba Ransomware
Στα τέλη της περασμένης εβδομάδας, το τμήμα Cyber του FBI δημοσίευσε μια ειδοποίηση flash σχετικά με το ransomware της Κούβας. Ο σκοπός του εγγράφου ήταν να αυξήσει την ευαισθητοποίηση σχετικά με την παραλλαγή του ransomware και να ενημερώσει το κοινό για τον αντίκτυπο που είχε μέχρι στιγμής.
Σύμφωνα με το flash alert, το μέρος που χειρίζεται το Cuba ransomware έχει καταφέρει μέχρι στιγμής να σημειώσει επιτυχημένες επιθέσεις εναντίον «τουλάχιστον» 49 διαφορετικών οντοτήτων. Ως αποτέλεσμα αυτών των επιθέσεων, το FBI έχει υπολογίσει ότι οι απατεώνες που διαχειρίζονται το ransomware της Κούβας έχουν κερδίσει «τουλάχιστον» 43,9 εκατομμύρια δολάρια από τη λειτουργία της συμμορίας τους στον κυβερνοχώρο εγκληματιών.
Το Cuba ransomware στοχεύει υποδομές που βασίζονται σε Windows και οντότητες που δραστηριοποιούνται σε ένα ευρύ φάσμα τομέων, από τη χρηματοδότηση έως την κυβέρνηση, την πληροφορική και την υγειονομική περίθαλψη.
Το όχημα που χρησιμοποιείται για τη διάδοση του ransomware της Κούβας είναι τις περισσότερες φορές το κακόβουλο λογισμικό Hancitor, ενημερώνει περαιτέρω το FBI. Το εργαλείο Hancitor είναι ένα σχετικά δημοφιλές dropper που χρησιμοποιείται για τη διάδοση και άλλων ειδών κακόβουλου λογισμικού, από trojan απομακρυσμένης πρόσβασης έως διαφορετικά είδη ransomware.
Οι χειριστές Hancitor χρησιμοποιούν μια ευρεία γκάμα εργαλείων για να αποκτήσουν πρόσβαση και να παραβιάσουν επίσης δίκτυα. Αυτά κυμαίνονται από απόπειρες phishing υπαλλήλων θυμάτων έως τη χρήση κλεμμένων διαπιστευτηρίων και την κατάχρηση εργαλείων απομακρυσμένης επιφάνειας εργασίας.
Μόλις ο φορτωτής αποφορτώσει το ransomware στο σύστημα θύματος, οι χάκερ που χειρίζονται το ransomware Cuba προχωρούν στην κατάχρηση των νόμιμων εργαλείων συστήματος των Windows όπως το PowerShell, αποκτούν δικαιώματα διαχειριστή και εκτελούν το τελικό ωφέλιμο φορτίο της Κούβας.
Η Κούβα εγκαθιστά επίσης έναν φάρο Cobalt Strike. Το Cobalt Strike είναι ένα νόμιμο εργαλείο "προσομοίωσης αντιπάλου" που έχει γίνει εξαιρετικά δημοφιλές στους φορείς απειλών.
Εκτός από τις δυνατότητες καταστροφής δεδομένων και κρυπτογράφησης, το ransomware της Κούβας χρησιμοποιεί επίσης το κακόβουλο εργαλείο MimiKatz για τη διείσδυση διαπιστευτηρίων και τη χρήση απομακρυσμένης επιφάνειας εργασίας για να αξιοποιήσει αυτά τα διαπιστευτήρια. Το Cobalt Strike χρησιμοποιείται στη συνέχεια για την επικοινωνία μεταξύ του παραβιασμένου λογαριασμού RDP και των χάκερ.
Παρόλο που οι κακοί ηθοποιοί που χειρίζονται το ransomware της Κούβας έχουν κερδίσει μέχρι στιγμής σχεδόν 44 εκατομμύρια δολάρια, οι συνολικές απαιτήσεις λύτρων που έγιναν κατά τη διάρκεια των επιτυχημένων επιθέσεων τους έφτασαν στην πραγματικότητα τα υπέρογκα 74 εκατομμύρια δολάρια.
