FBIがキューバのランサムウェアに関する正式な通知を投稿

先週遅く、FBIのサイバー部門はキューバのランサムウェアに関するフラッシュアラートをリリースしました。このドキュメントの目的は、ランサムウェアの亜種の認識を高め、これまでの影響を一般に知らせることでした。

フラッシュアラートによると、キューバのランサムウェアを操作している当事者は、これまでに「少なくとも」49の異なるエンティティに対して成功した攻撃を記録することができました。これらの攻撃の結果として、FBIは、キューバのランサムウェアを実行している詐欺師が、サイバー犯罪組織の運営から「少なくとも」驚異的な4390万ドルをポケットに入れていると推定しています。

キューバのランサムウェアは、金融から政府、IT、ヘルスケアまで、幅広いセクターで運用されているWindowsベースのインフラストラクチャとエンティティを対象としています。

キューバのランサムウェアを広めるために使用される手段は、ほとんどの場合Hancitorマルウェアであると、FBIはさらに通知します。 Hancitorツールは、リモートアクセス型トロイの木馬からさまざまな種類のランサムウェアまで、他の種類のマルウェアを拡散するために使用される比較的人気のあるドロッパーです。

Hancitorのオペレーターは、さまざまなツールを使用して、ネットワークにアクセスし、ネットワークを侵害します。それらは、被害者の従業員をフィッシングする試みから、盗まれた資格情報の使用やリモートデスクトップツールの悪用にまで及びます。

ローダーが被害者のシステムにランサムウェアをオフロードすると、キューバのランサムウェアを操作するハッカーは、PowerShellなどの正規のWindowsシステムツールを悪用し、管理者権限を取得して、最終的なキューバのペイロードを実行します。

キューバはまた、コバルトストライクビーコンをインストールします。 Cobalt Strikeは、脅威の攻撃者に非常に人気のある合法的な「敵対者シミュレーション」ツールです。

データ破壊および暗号化機能に加えて、キューバのランサムウェアは、MimiKatzの悪意のあるツールを使用して資格情報を盗み出し、リモートデスクトップを使用してそれらの資格情報を活用します。次に、Cobalt Strikeを使用して、侵害されたRDPアカウントとハッカーの間で通信します。

キューバのランサムウェアを操作している悪意のある人物はこれまでに4,400万ドル近くを集めましたが、攻撃の成功の過程で行われた身代金要求の合計は、実際には法外な7,400万ドルに達しました。