ФБР опубликовало официальное уведомление о программах-вымогателях на Кубе

В конце прошлой недели киберотдел ФБР выпустил экстренное сообщение о программе-вымогателе Кубы. Цель документа заключалась в том, чтобы привлечь внимание к версии программы-вымогателя и проинформировать общественность о том, какое влияние она оказала на данный момент.

Согласно экстренному оповещению, стороне, эксплуатирующей программу-вымогатель Cuba, удалось успешно провести атаки как минимум против 49 различных организаций. В результате этих атак, по оценкам ФБР, мошенники, запускающие программу-вымогатель Кубы, присвоили «по крайней мере» ошеломляющие 43,9 миллиона долларов, управляя своей киберпреступной бандой.

Программа-вымогатель Cuba нацелена на инфраструктуру на базе Windows и организации, работающие в широком диапазоне секторов, от финансов до правительства, информационных технологий и здравоохранения.

Как сообщает ФБР, средством распространения трояна-вымогателя на Кубе чаще всего является вредоносное ПО Hancitor. Инструмент Hancitor - относительно популярный дроппер, используемый для распространения и других видов вредоносных программ, от троянов удаленного доступа до различных штаммов программ-вымогателей.

Операторы Hancitor также используют широкий спектр инструментов для получения доступа и взлома сетей. Они варьируются от попыток фишинга сотрудниками-жертвами до использования украденных учетных данных и злоупотребления инструментами удаленного рабочего стола.

После того, как загрузчик выгружает программу-вымогатель на систему жертвы, хакеры, использующие программу-вымогатель Cuba, начинают злоупотреблять легитимными системными инструментами Windows, такими как PowerShell, получают права администратора и выполняют последнюю полезную нагрузку Cuba.

Куба также устанавливает маяк Cobalt Strike. Cobalt Strike - это законный инструмент для моделирования противников, который стал чрезвычайно популярным среди злоумышленников.

Помимо возможностей уничтожения и шифрования данных, программа-вымогатель Cuba также использует вредоносный инструмент MimiKatz для извлечения учетных данных и использования удаленного рабочего стола для использования этих учетных данных. Затем Cobalt Strike используется для связи между взломанной учетной записью RDP и хакерами.

Несмотря на то, что злоумышленники, работающие с программой-вымогателем Кубы, на данный момент собрали почти 44 миллиона долларов, общая сумма требований о выкупе, предъявленных в ходе их успешных атак, фактически достигла непомерной суммы в 74 миллиона долларов.