CISA和FBI表示,根据最近的联合网络安全咨询(CSA)#StopRansomware,CISA和FBI发出警告,勒索软件攻击正在上升Cube勒索软件团伙已经据报道,该组织攻击了全球100多个组织,并收到了超过6000万美元的赎金。最新的CSA警告说,Cube勒索软件团伙的安全事件和企业网络安全查询激增。根据警告,Cube勒索软件攻击的目标是医疗保健、关键基础设施、金融服务、政府服务等机构。CSA表示,尽管该组织使用了这个名称,但该组织与古巴国家没有任何关系。美国联邦调查局警告说,这个勒索软件团伙已经袭击了全球100多个目标,并要求支付超过1.45亿美元的赎金,目前已收到6000万美元的赎金。FBI和CISA的新调查结果FBI发现Cube勒索软件攻击者针对的美国实体数量和索要赎金的金额都急剧增加。自2022年春季以来,Cube勒索软件攻击者扩大了他们的TTP。第三方组织和开源报告已确定Cube勒索软件攻击者、RomCom远程访问木马(RAT)参与者和工业间谍勒索软件攻击者之间可能存在联系。该组织习惯于使用双重勒索攻击,他们不仅对数据进行加密,还要求赎金,并威胁如果目标不支付赎金(需要用比特币支付),就会泄露从受害者那里窃取的数据。攻击者使用最新的勒索软件技术这是CISA和FBI关于Cube勒索软件的第二次警告,第一次是在2021年12月。最近发出警告的原因是网络攻击的数量突然增加,并且攻击者增加了他们的攻击的复杂性,使它们无法被发现且难以阻止。这些技术包括滥用Windows通用日志记录文件系统(CLFS)驱动程序(CVE-2022-24521)中的一个漏洞,该漏洞允许攻击者检索系统令牌并启用权限,同时部署识别服务帐户的PowerShell脚本,以便更好地访问高级系统控制。攻击背后的Cube勒索软件安全研究人员发现,Cube勒索软件还攻击Zerologon,这是微软Windows身份验证协议Netlogon(CVE-2020-1472)中的一个漏洞,可被利用获取域管理权限。Zerologon于2020年9月被发现,当时被认为“风险极大”,但两年后,威胁者仍然能够滥用它。Cube勒索软件用来访问受害者系统的技术包括利用商业软件中的已知漏洞、网络钓鱼活动、利用窃取的用户数据和密码以及滥用远程桌面协议(RDP)应用程序。一旦攻击者获得访问权限,他就会安装Hancitor,这是一种恶意软件有效负载,可让他轻松重新获得访问权限并对被利用的网络发起攻击,然后可用于交付和启动勒索软件有效负载。FBI和CISA鼓励网络防御者加入CSA并应用尽可能多的缓解措施。本文翻译自:https://www.cysecurity.news/2022/12/fbi-cisa-alert-ransomware-gang-attacked.html
