“Cuba”勒索軟件團(tuán)伙獲得了4400萬美元的贖金
聯(lián)邦調(diào)查局警告說,cuba勒索軟件團(tuán)伙已經(jīng)開始進(jìn)行攻擊,截至11月,美國至少已經(jīng)有五個(gè)關(guān)鍵部門49個(gè)實(shí)體受到了影響。
在一份緊急警報(bào)中,聯(lián)邦調(diào)查局發(fā)現(xiàn)該團(tuán)伙已經(jīng)對(duì)美國的金融、政府、醫(yī)療保健、制造業(yè)和信息技術(shù)領(lǐng)域的多個(gè)實(shí)體進(jìn)行了一系列的網(wǎng)絡(luò)攻擊。總體而言,這些攻擊使攻擊者獲得了4400萬美元的勒索贖金。這比該團(tuán)伙在整個(gè)攻擊中實(shí)際要求的7400萬美元的一半多一點(diǎn),這表明并不是所有的公司都全額支付了贖金。
這里聯(lián)邦調(diào)查局并沒有提到具體的受害者,但在上個(gè)月該局還警告說,該團(tuán)伙的攻擊目標(biāo)是全美境內(nèi)的賭場。
聯(lián)邦調(diào)查局指出,攻擊團(tuán)伙使用的勒索軟件是通過在第一階段向系統(tǒng)植入木馬來進(jìn)行傳播的,并且它還作為后續(xù)有效載荷的加載器進(jìn)行使用,而且該軟件已經(jīng)存在了至少五年了。根據(jù)聯(lián)邦調(diào)查局的警報(bào),攻擊者通過釣魚郵件、微軟Exchange漏洞、泄露的憑證或合法的遠(yuǎn)程桌面協(xié)議(RDP)工具來獲得對(duì)目標(biāo)機(jī)器的初始訪問權(quán)限。
在軟件安裝成功后,勒索軟件的攻擊者還會(huì)使用大量合法的Windows服務(wù)進(jìn)行攻擊,如PowerShell、PsExec和Cobalt Strike,這些都是網(wǎng)絡(luò)犯罪分子為實(shí)現(xiàn)橫向移動(dòng)而大量使用的合法測試工具。該工具使用信標(biāo)來有效識(shí)別目標(biāo)環(huán)境中的可利用漏洞。
根據(jù)聯(lián)邦調(diào)查局的分析,Cobalt Strike信標(biāo)通過PowerShell安裝在受害者的網(wǎng)絡(luò)上。一旦安裝成功后,勒索軟件就會(huì)下載兩個(gè)可執(zhí)行文件,其中包括用于獲取密碼的pones.exe和krots.exe文件,這兩個(gè)文件也被稱為KPOT,這就使得勒索軟件攻擊者能夠?qū)ο到y(tǒng)中的臨時(shí)(TMP)文件有寫入的權(quán)限。
一旦TMP文件上傳成功,KPOT就會(huì)被刪除,這一招是為了銷毀勒索軟件的攻擊痕跡。之后TMP文件就會(huì)在被攻擊的網(wǎng)絡(luò)中進(jìn)行執(zhí)行。
警報(bào)說:"TMP文件使用了與內(nèi)存注入有關(guān)的API調(diào)用,一旦執(zhí)行成功,該文件將會(huì)從系統(tǒng)中刪除。在刪除TMP文件后,被攻擊的網(wǎng)絡(luò)就開始與位于黑山的域名teoresp.com進(jìn)行通信。"
cuba攻擊者還使用了MimiKatz惡意軟件來竊取受害者的憑證,然后使用遠(yuǎn)程桌面協(xié)議(RDP)以特定的用戶賬戶來登錄被入侵的網(wǎng)絡(luò)主機(jī)。
根據(jù)分析,一旦RDP連接成功,cuba勒索軟件的攻擊者就會(huì)使用Cobalt Strike服務(wù)器與被攻擊的用戶賬戶進(jìn)行通信。最初的PowerShell攻擊腳本中就含有分配內(nèi)存空間來運(yùn)行一個(gè)base64編碼的有效載荷功能。一旦這個(gè)有效載荷被加載到內(nèi)存中,它就可以用來執(zhí)行遠(yuǎn)程命令和控制(C2)服務(wù)器的命令,然后接著部署下一階段的攻擊文件。
所有被攻擊的文件都會(huì)以".cuba "為擴(kuò)展名進(jìn)行加密,這也是該勒索軟件的名稱。
聯(lián)邦調(diào)查局/國際安全局聯(lián)合警告各組織在假日期間要格外警惕。
根據(jù)該警告,雖然CISA和FBI目前都沒有確定任何具體的威脅,但最近2021年的趨勢(shì)顯示,惡意網(wǎng)絡(luò)攻擊者在節(jié)假日和周末,包括獨(dú)立日和母親節(jié)的周末,發(fā)起了嚴(yán)重的勒索軟件攻擊活動(dòng),造成了巨大的影響。
勒索軟件的攻擊策略在不斷演變。研究人員通過電子郵件說,從勒索軟件的商業(yè)化到最近的勒索服務(wù)工具的出現(xiàn),再到越來越復(fù)雜的攻擊策略。為了防止攻擊,這里需要組織和政府進(jìn)行不斷的監(jiān)測和教育。
各個(gè)組織可以采取各種措施,通過實(shí)施各種安全方式來保護(hù)自己,如對(duì)員工進(jìn)行釣魚郵件識(shí)別的培訓(xùn)、及時(shí)打補(bǔ)丁、實(shí)施電子郵件安全解決方案、定期進(jìn)行滲透測試和漏洞掃描、網(wǎng)絡(luò)隔離、數(shù)據(jù)加密、遠(yuǎn)程備份,以及使用一個(gè)強(qiáng)大的、經(jīng)過測試的事件響應(yīng)制度。
不幸的是,我們生活在一個(gè)不可能100%預(yù)防網(wǎng)絡(luò)危機(jī)的時(shí)代,但保持一定的警惕性、持續(xù)進(jìn)行網(wǎng)絡(luò)威脅教育以及計(jì)劃周密的威脅檢測和響應(yīng)策略將大大有助于保持組織內(nèi)部敏感數(shù)據(jù)的安全。
本文翻譯自:https://threatpost.com/cuba-ransomware-gang-44m-payouts/176790/如若轉(zhuǎn)載,請(qǐng)注明原文地址。
