FBI 发布关于古巴勒索软件的正式通知

上周晚些时候，联邦调查局的网络部门发布了有关古巴勒索软件的快速警报。该文件的目的是提高对勒索软件变体的认识，并告知公众它迄今为止的影响。

根据闪电警报，到目前为止，古巴勒索软件的运营方已成功对“至少”49 个不同的实体进行了攻击。由于这些攻击，联邦调查局估计，运行古巴勒索软件的骗子从经营他们的网络犯罪团伙中“至少”赚了 4390 万美元。

Cuba 勒索软件的目标是基于 Windows 的基础设施和在金融、政府、IT 和医疗保健等广泛领域运营的实体。

FBI 进一步告知，用于传播古巴勒索软件的工具通常是 Hancitor 恶意软件。 Hancitor 工具是一种相对流行的植入程序，用于传播其他类型的恶意软件，从远程访问木马到不同种类的勒索软件。

Hancitor 运营商也使用各种工具来访问和破坏网络。这些范围从网络钓鱼受害者员工到使用被盗凭据和滥用远程桌面工具。

一旦加载程序卸载了受害者系统上的勒索软件，操作 Cuba 勒索软件的黑客就会继续滥用合法的 Windows 系统工具（如 PowerShell），获取管理员权限并执行最终的 Cuba 有效载荷。

古巴还安装了 Cobalt Strike 灯塔。 Cobalt Strike 是一种合法的“对手模拟”工具，已变得非常受威胁参与者的欢迎。

除了数据销毁和加密功能外，古巴勒索软件还使用 MimiKatz 恶意工具来窃取凭据并使用远程桌面来利用这些凭据。然后使用 Cobalt Strike 在受感染的 RDP 帐户和黑客之间进行通信。

尽管操作古巴勒索软件的不良行为者迄今已收获近 4400 万美元，但在其成功攻击过程中提出的总赎金要求实际上高达 7400 万美元。