FTB paskelbė oficialų pranešimą apie Kubos išpirkos reikalaujančią programinę įrangą

Praėjusios savaitės pabaigoje FTB kibernetinis skyrius paskelbė greitą įspėjimą dėl Kubos išpirkos reikalaujančios programinės įrangos. Dokumento tikslas buvo informuoti apie išpirkos reikalaujančios programos variantą ir informuoti visuomenę apie iki šiol jos poveikį.

„Flash Alert“ duomenimis, Kubos išpirkos reikalaujančią programinę įrangą valdanti partija iki šiol sugebėjo sėkmingai atakuoti „mažiausiai“ 49 skirtingus subjektus. Dėl šių išpuolių FTB apskaičiavo, kad Kubos išpirkos reikalaujančią programinę įrangą valdantys sukčiai iš savo kibernetinių nusikaltėlių gaujos susikrovė „mažiausiai“ stulbinančius 43,9 mln. USD.

Kubos išpirkos reikalaujanti programinė įranga skirta Windows pagrindu veikiančiai infrastruktūrai ir subjektams, veikiantiems įvairiuose sektoriuose – nuo finansų iki vyriausybės, IT ir sveikatos priežiūros.

Transporto priemonė, naudojama Kubos išpirkos programinei įrangai platinti, dažniausiai yra kenkėjiška programa Hancitor, toliau informuoja FTB. Hancitor įrankis yra gana populiarus lašintuvas, naudojamas platinti ir kitų rūšių kenkėjiškas programas, pradedant nuotolinės prieigos Trojos arkliais ir baigiant įvairiomis išpirkos reikalaujančiomis programomis.

„Hancitor“ operatoriai naudoja daugybę įrankių, kad gautų prieigą ir pažeistų tinklus. Tai svyruoja nuo bandymų sukčiauti darbuotojus, kurių aukos buvo sukčiavimas, iki pavogtų kredencialų ir piktnaudžiavimo nuotolinio darbalaukio įrankiais.

Kai įkroviklis iškrauna išpirkos reikalaujančią programinę įrangą iš aukos sistemos, Kubos išpirkos reikalaujančią programinę įrangą valdantys įsilaužėliai pradeda piktnaudžiauti teisėtais „Windows“ sistemos įrankiais, tokiais kaip „PowerShell“, gauna administratoriaus teises ir atlieka galutinį Kubos naudingąjį krovinį.

Kuba taip pat įrengia „Cobalt Strike“ švyturį. „Cobalt Strike“ yra teisėtas „priešo modeliavimo“ įrankis, itin populiarus tarp grėsmės veikėjų.

Be duomenų naikinimo ir šifravimo galimybių, Cuba ransomware taip pat naudoja kenkėjišką įrankį MimiKatz, kad išfiltruotų kredencialus ir naudotų nuotolinį darbalaukį, kad panaudotų tuos kredencialus. Tada „Cobalt Strike“ naudojamas palaikyti ryšį tarp pažeistos KPP paskyros ir įsilaužėlių.

Nors blogi veikėjai, valdantys Kubos išpirkos reikalaujančią programinę įrangą, iki šiol surinko beveik 44 mln.