FBI警告称,古巴勒索团伙已开始发起攻击。截至11月,美国五个关键部门至少有49家实体受到影响。在紧急警报中,联邦调查局发现该组织对美国金融、政府、医疗保健、制造和信息技术领域的多个实体进行了一系列网络攻击。总的来说,这些攻击使攻击者获得了4400万美元的赎金。这只是该团伙在整个袭击中实际索要的7400万美元的一半多一点,这表明并非所有公司都支付了全部赎金。联邦调查局没有在这里指明具体受害者的名字,但上个月该局还警告说,该团伙的目标是美国各地的赌场。FBI注意到,攻击团伙使用的勒索软件在第一阶段是通过在系统中植入木马进行传播,同时也被用作后续载荷的加载器,并且该软件已经存在了至少五年年。根据FBI警报,攻击者通过网络钓鱼电子邮件、MicrosoftExchange漏洞、泄露的凭据或合法的远程桌面协议(RDP)工具获得了对目标机器的初始访问权限。软件安装成功后,勒索软件攻击者还会使用大量合法的Windows服务,例如PowerShell、PsExec和CobaltStrike,这些是网络犯罪分子大量用于横向移动的合法测试工具。该工具使用信标来有效识别目标环境中的可利用漏洞。根据FBI的分析,CobaltStrike信标是通过PowerShell安装在受害者的网络上的。安装后,勒索软件会下载两个可执行文件,包括用于获取密码的pones.exe和krots.exe文件,也称为KPOT,它允许勒索软件攻击者对系统中的临时(TMP)文件写入权限。一旦成功上传TMP文件,KPOT将被删除。这个技巧是为了破坏勒索软件攻击的痕迹。然后TMP文件将在被攻击的网络中执行。“TMP文件使用了与内存注入相关的API调用,一旦成功执行,该文件就会从系统中删除,”警报说。删除TMP文件后,受攻击的网络开始与位于黑山通信的域teoresp.com进行通信。”古巴攻击者还使用MimiKatz恶意软件窃取受害者的凭据,然后使用远程桌面协议(RDP)登录受感染的具有特定用户帐户的虚拟主机。据分析,一旦RDP连接成功,cuba勒索软件的攻击者就会使用CobaltStrike服务器与被攻陷的用户账户进行通信。原始的PowerShell攻击脚本包括分配内存以运行base64编码的负载的能力。一旦将此有效载荷加载到内存中,它就可以用于执行来自远程命令和控制(C2)服务器的命令,然后该服务器继续部署攻击文件的下一阶段。所有受攻击的文件都使用“.cuba”扩展名进行加密,这也是勒索软件的名称。FBI/ISB联合警告组织在假期期间要格外警惕。根据警告,虽然CISA和FBI目前都没有发现任何具体威胁,但最近的2021年趋势显示恶意网络行为者在假期和周末发起严重的勒索软件攻击,包括独立日和母亲节周末活动产生了巨大影响。勒索软件攻击策略在不断发展。研究人员通过电子邮件表示,从勒索软件的商业化和最近勒索软件工具的出现,到日益复杂的攻击策略。为了防止攻击,这需要组织和政府的持续监控和教育。组织可以通过实施各种安全方法来采取各种措施来保护自己,例如对员工进行钓鱼邮件识别培训、及时修补、实施电子邮件安全解决方案、定期渗透测试和漏洞扫描、网络隔离、数据加密、远程备份以及使用强大的、经过测试的事件响应机制。不幸的是,我们生活在一个网络危机不可能100%预防的时代,但是保持警惕、持续的网络威胁教育以及精心策划的威胁检测和响应策略将大大有助于确保组织内敏感数据的安全。安全。本文翻译自:https://threatpost.com/cuba-ransomware-gang-44m-payouts/176790/如有转载请注明出处。
