FBI legger ut formell melding om Cuba løsepengeprogramvare
Sent i forrige uke ga FBIs cyberavdeling ut et flashvarsel angående Cuba løsepengeprogramvare. Formålet med dokumentet var å øke bevisstheten om løsepengevarevarianten og informere publikum om virkningen den har hatt så langt.
I følge flash-varslingen har partiet som driver Cuba-ransomware så langt klart å oppnå vellykkede angrep mot «minst» 49 forskjellige enheter. Som et resultat av disse angrepene har FBI estimert at skurkene som driver Cuba løsepengeprogramvare har "minst" svimlende 43,9 millioner dollar i lommene fra å drive nettkriminelle gjeng.
Cuba løsepengevare er rettet mot Windows-basert infrastruktur og enheter som opererer innenfor et bredt spekter av sektorer, fra finans til myndigheter, IT og helsevesen.
Kjøretøyet som brukes til å spre Cuba løsepengevaren er oftest Hancitor-skadevare, opplyser FBI videre. Hancitor-verktøyet er en relativt populær dropper som også brukes til å spre andre typer skadelig programvare, fra trojanere med ekstern tilgang til forskjellige stammer av løsepengevare.
Hancitor-operatørene bruker et bredt spekter av verktøy for å få tilgang og kompromittere nettverk også. Disse spenner fra forsøk på phishing-ansatte til å bruke stjålet legitimasjon og misbruke eksterne skrivebordsverktøy.
Når lasteren har avlastet løsepengevaren på offersystemet, fortsetter hackere som bruker Cuba løsepengevaren til å misbruke legitime Windows-systemverktøy som PowerShell, få administratorrettigheter og utføre den endelige Cuba nyttelasten.
Cuba installerer også et Cobalt Strike-fyrtårn. Cobalt Strike er et legitimt «adversary simulation»-verktøy som har blitt ekstremt populært blant trusselaktører.
I tillegg til dataødeleggelses- og krypteringsfunksjonene, bruker Cuba løsepengevare også det skadelige MimiKatz-verktøyet for å eksfiltrere legitimasjon og bruke eksternt skrivebord for å utnytte disse legitimasjonene. Cobalt Strike brukes deretter til å kommunisere mellom den kompromitterte RDP-kontoen og hackerne.
Selv om de dårlige aktørene som driver Cuba-ransomware så langt har høstet nesten 44 millioner dollar, nådde de totale løsepengekravene som ble stilt i løpet av deres vellykkede angrep faktisk ublu 74 millioner dollar.
