FBI publikuje oficjalne zawiadomienie dotyczące oprogramowania ransomware Cuba
Pod koniec zeszłego tygodnia Cyber Division FBI opublikował błyskawiczne ostrzeżenie dotyczące kubańskiego oprogramowania ransomware. Celem dokumentu było podniesienie świadomości na temat wariantu oprogramowania ransomware i poinformowanie opinii publicznej o jego dotychczasowym wpływie.
Według błyskawicznego alertu, strona obsługująca oprogramowanie ransomware kuba do tej pory zdołała przeprowadzić udane ataki na „co najmniej” 49 różnych podmiotów. W wyniku tych ataków FBI oszacowało, że oszuści obsługujący oprogramowanie ransomware z Kuby zdobyli „co najmniej” oszałamiającą kwotę 43,9 miliona dolarów z prowadzenia swojego cyberprzestępczego gangu.
Ransomware Kuba atakuje infrastrukturę opartą na systemie Windows i podmioty działające w wielu sektorach, od finansów po administrację, IT i opiekę zdrowotną.
Narzędziem wykorzystywanym do rozprzestrzeniania oprogramowania ransomware z Kuby jest najczęściej złośliwe oprogramowanie Hancitor, informuje FBI. Narzędzie Hancitor jest stosunkowo popularnym dropperem używanym również do rozprzestrzeniania innych rodzajów złośliwego oprogramowania, od trojanów zdalnego dostępu po różne odmiany oprogramowania ransomware.
Operatorzy Hancitor korzystają z szerokiej gamy narzędzi, aby uzyskać dostęp do sieci, a także narazić ją na szwank. Obejmują one próby ataków na pracowników ofiar phishingu, używanie skradzionych danych uwierzytelniających i nadużywanie narzędzi zdalnego pulpitu.
Po tym, jak program ładujący odciąży oprogramowanie ransomware w systemie ofiary, hakerzy obsługujący oprogramowanie ransomware Cuba zaczynają nadużywać legalnych narzędzi systemu Windows, takich jak PowerShell, uzyskują uprawnienia administratora i wykonują ostateczny ładunek na Kubie.
Kuba instaluje również radiolatarnię Cobalt Strike. Cobalt Strike to legalne narzędzie do „symulacji przeciwnika”, które stało się niezwykle popularne wśród cyberprzestępców.
Oprócz możliwości niszczenia danych i szyfrowania, ransomware Cuba wykorzystuje również złośliwe narzędzie MimiKatz do eksfiltracji poświadczeń i używania zdalnego pulpitu w celu wykorzystania tych poświadczeń. Cobalt Strike jest następnie używany do komunikacji między zhakowanym kontem RDP a hakerami.
Mimo że źli aktorzy obsługujący oprogramowanie ransomware Kuba do tej pory zebrali prawie 44 miliony dolarów, łączne żądania okupu wysunięte w trakcie ich udanych ataków osiągnęły w rzeczywistości niebotyczne 74 miliony dolarów.
