Az FBI hivatalos értesítést tett közzé a kubai zsarolóvírussal kapcsolatban
A múlt hét végén az FBI kiberosztálya azonnali riasztást adott ki a kubai zsarolóvírussal kapcsolatban. A dokumentum célja az volt, hogy felhívja a figyelmet a zsarolóvírus-változatra, és tájékoztassa a nyilvánosságot annak eddigi hatásáról.
A gyorsriasztás szerint a kubai ransomware-t üzemeltető félnek eddig "legalább" 49 különböző entitás ellen sikerült sikeres támadást elérnie. A támadások eredményeként az FBI becslése szerint a kubai ransomware-t futtató szélhámosok "legalább" 43,9 millió dollárt tettek zsebre kiberbűnözői bandájuk működtetéséből.
A Cuba ransomware a Windows-alapú infrastruktúrát és az ágazatok széles skáláját célozza meg, a pénzügyektől a kormányzatig, az IT-ig és az egészségügyig.
A kubai zsarolóvírus terjesztésére használt jármű leggyakrabban a Hancitor kártevő – tájékoztat az FBI. A Hancitor eszköz egy viszonylag népszerű cseppentő, amelyet más típusú rosszindulatú programok terjesztésére is használnak, a távoli hozzáférésű trójaiaktól a zsarolóvírusok különböző törzseiig.
A Hancitor operátorok az eszközök széles skáláját használják a hálózatok eléréséhez és a hálózatok kompromittálásához. Ezek az áldozatok alkalmazottainak adathalászatára tett kísérletektől a lopott hitelesítő adatok felhasználásáig és a távoli asztali eszközökkel való visszaélésig terjednek.
Miután a betöltő feltöltötte a zsarolóprogramot az áldozat rendszerére, a Cuba ransomware-t üzemeltető hackerek visszaélnek a legális Windows rendszereszközökkel, például a PowerShell-lel, rendszergazdai jogosultságokat szereznek, és végrehajtják a végső kubai terhelést.
Kuba egy Cobalt Strike jeladót is telepít. A Cobalt Strike egy legitim "ellenfélszimulációs" eszköz, amely rendkívül népszerűvé vált a fenyegetés szereplői körében.
Az adatmegsemmisítési és titkosítási képességein kívül a Cuba ransomware a MimiKatz rosszindulatú eszközt is alkalmazza a hitelesítő adatok kiszűrésére és a távoli asztal használatára ezeknek a hitelesítő adatoknak a kihasználására. A Cobalt Strike-ot ezután a feltört RDP-fiók és a hackerek közötti kommunikációra használják.
Annak ellenére, hogy a kubai ransomware-t üzemeltető rossz szereplők eddig csaknem 44 millió dollárt gyűjtöttek be, a sikeres támadásaik során követelt teljes váltságdíj valójában elérték a 74 millió dollárt.
