FBI publicerar ett formellt meddelande om Cuba Ransomware
I slutet av förra veckan släppte FBI:s cyberdivision en blixtvarning angående Kubas ransomware. Syftet med dokumentet var att öka medvetenheten om ransomware-varianten och informera allmänheten om vilken inverkan den har haft hittills.
Enligt blixtvarningen har partiet som använder Cuba ransomware hittills lyckats få framgångsrika attacker mot "minst" 49 olika enheter. Som ett resultat av dessa attacker har FBI uppskattat att skurkarna som driver Cuba ransomware har "minst" en svindlande $43,9 miljoner från att driva sitt cyberkriminella gäng.
Kubas ransomware riktar sig till Windows-baserad infrastruktur och enheter som verkar inom ett brett spektrum av sektorer, från finans till myndigheter, IT och hälsovård.
Fordonet som används för att sprida Kubas ransomware är oftast Hancitor malware, upplyser FBI vidare. Hancitor-verktyget är en relativt populär droppare som också används för att sprida andra typer av skadlig programvara, från trojaner med fjärråtkomst till olika stammar av ransomware.
Hancitor-operatörerna använder ett brett utbud av verktyg för att få åtkomst och äventyra nätverk. Dessa sträcker sig från försök till nätfiskeoffrets anställda till att använda stulna referenser och missbruka verktyg för fjärrskrivbord.
När laddaren har laddat ur ransomware på offersystemet fortsätter hackare som använder Cuba ransomware att missbruka legitima Windows-systemverktyg som PowerShell, erhålla administratörsbehörigheter och köra den slutliga Cuba-nyttolasten.
Kuba installerar också en Cobalt Strike-fyr. Cobalt Strike är ett legitimt verktyg för "motståndssimulering" som har blivit extremt populärt bland hotaktörer.
Utöver dess dataförstörings- och krypteringsmöjligheter, använder Cuba ransomware också det skadliga MimiKatz-verktyget för att exfiltrera autentiseringsuppgifter och använda fjärrskrivbord för att utnyttja dessa referenser. Cobalt Strike används sedan för att kommunicera mellan det komprometterade RDP-kontot och hackarna.
Även om de dåliga aktörerna som använder Cuba ransomware hittills har skördat nästan 44 miljoner dollar, har de totala kraven på lösen som gjorts under loppet av deras framgångsrika attacker faktiskt uppgått till orimliga 74 miljoner dollar.
