FBI publiceert formele kennisgeving met betrekking tot de Cuba-ransomware
Eind vorige week bracht de Cyber-divisie van de FBI een flash-alert uit over de Cuba-ransomware. Het doel van het document was om het bewustzijn van de ransomware-variant te vergroten en het publiek te informeren over de impact die het tot nu toe heeft gehad.
Volgens het flitsalarm is de partij die de Cuba-ransomware exploiteert er tot nu toe in geslaagd om succesvolle aanvallen te scoren tegen "minstens" 49 verschillende entiteiten. Als gevolg van die aanvallen schat de FBI dat de boeven die de Cuba-ransomware runnen "minstens" maar liefst 43,9 miljoen dollar hebben verdiend met het exploiteren van hun cybercriminele bende.
De Cuba-ransomware richt zich op op Windows gebaseerde infrastructuur en entiteiten die actief zijn in een breed scala van sectoren, van financiën tot overheid, IT en gezondheidszorg.
Het voertuig dat wordt gebruikt om de Cuba-ransomware te verspreiden, is meestal de Hancitor-malware, informeert de FBI verder. De Hancitor-tool is een relatief populaire druppelaar die ook wordt gebruikt om andere soorten malware te verspreiden, van trojans voor externe toegang tot verschillende soorten ransomware.
De operators van Hancitor gebruiken een breed scala aan tools om toegang te krijgen en ook netwerken te compromitteren. Die variëren van pogingen tot phishing van werknemers van slachtoffers tot het gebruik van gestolen inloggegevens en misbruik van externe desktoptools.
Zodra de lader de ransomware op het slachtoffersysteem heeft geplaatst, maken hackers die de Cuba-ransomware gebruiken misbruik van legitieme Windows-systeemtools zoals PowerShell, verkrijgen beheerdersrechten en voeren de laatste Cuba-payload uit.
Cuba installeert ook een Cobalt Strike-baken. Cobalt Strike is een legitieme "tegenstandersimulatie"-tool die enorm populair is geworden bij bedreigingsactoren.
Naast de mogelijkheden voor gegevensvernietiging en encryptie, gebruikt de Cuba-ransomware ook de kwaadaardige tool MimiKatz om inloggegevens te exfiltreren en remote desktop te gebruiken om die inloggegevens te benutten. Cobalt Strike wordt vervolgens gebruikt om te communiceren tussen het gecompromitteerde RDP-account en de hackers.
Hoewel de criminelen die de Cuba-ransomware exploiteerden tot dusver bijna $ 44 miljoen hebben geoogst, bedroeg het totale losgeld dat in de loop van hun succesvolle aanvallen werd gevraagd, in feite een exorbitante $ 74 miljoen.
