FBI har udgivet en ny meddelelse om Cuba ransomware, der forklarer, at gruppen har angrebet “49 enheder i fem kritiske infrastruktursektorer” og betalt mindst 43,9 millioner dollars i løsepenge.
I en meddelelse, der blev sendt ud fredag, sagde FBI, at gruppen retter sig mod virksomheder i finans-, regerings-, sundheds-, fremstillings- og informationsteknologisektorerne, mens de bruger Hancitor-malwaren til at få adgang til Windows-systemer.
“Cuba ransomware distribueres gennem Hancitor malware, en loader kendt for at droppe eller udføre tyvere, såsom Remote Access Trojans (RAT'er) og andre typer af ransomware, til ofrenes netværk,” forklarede meddelelsen. at de krypterede filer har filtypenavnet “.cuba”.
“Hancitor malware-aktører bruger phishing-e-mails, Microsoft Exchange-sårbarheder, kompromitterede legitimationsoplysninger eller legitime Remote Desktop Protocol (RDP)-værktøjer til at få første adgang til et offers netværk. Efterfølgende bruger Cuba ransomware-aktører legitime Windows-tjenester – såsom PowerShell, PsExec, og andre uspecificerede tjenester – og derefter udnytte Windows Admin-rettigheder til at udføre deres ransomware og andre processer eksternt.”
De iøjnefaldende løsesumsbetalinger blev overskygget af det beløb, gruppen har krævet fra ofrene, som FBI fastsatte til 74 millioner dollars.
Når et offer er kompromitteret, installerer og udfører ransomwaren et CobaltStrike-beacon, mens to eksekverbare filer downloades. De to filer giver hackere mulighed for at erhverve adgangskoder og “skrive til det kompromitterede systems midlertidige (TMP) fil.”
“Når først TMP-filen er uploadet, slettes 'krots.exe'-filen, og TMP-filen udføres i det kompromitterede netværk. TMP-filen inkluderer Application Programming Interface (API)-kald relateret til hukommelsesinjektion, som, når den er udført, sletter sig selv fra systemet. Efter sletning af TMP-filen begynder det kompromitterede netværk at kommunikere med et rapporteret malware-lager placeret på Montenegro-baserede Uniform Resource Locator (URL) teoresp.com,” forklarede FBI.
“Yderligere bruger Cuba ransomware-aktører MimiKatz-malware til at stjæle legitimationsoplysninger, og bruger derefter RDP til at logge ind på den kompromitterede netværksvært med en specifik brugerkonto. Når en RDP-forbindelse er færdig, bruger de cubanske ransomware-aktører CobaltStrike-serveren til at kommunikere med den kompromitterede brugerkonto. En af de indledende PowerShell-scriptfunktioner tildeler hukommelsesplads til at køre en base64-kodet nyttelast. Når først denne nyttelast er indlæst i hukommelsen, kan den bruges til at nå fjernkommando-og-kontrol-serveren (C2) og derefter implementere næste fase af filer til ransomware. Den eksterne C2-server er placeret på den ondsindede URL kurvalarva.com.”
FBI inkluderede andre angrebsoplysninger samt en prøve på løsesumseddel og e-mail, som angriberne typisk inkluderer.
Ransomware-eksperter var noget overrasket over mængden af penge, gruppen tjente i betragtning af deres aktivitetsniveau i forhold til andre mere fremtrædende ransomware-grupper.
Emsisoft-trusselsanalytiker Brett Callow sagde, at rapporten illustrerede, hvor lukrativ ransomware-industrien overvejer, at Cuba ransomware-gruppen ikke er på deres top ti-liste med hensyn til aktivitet.
Hans data viser 105 Cuba ransomware-indsendelser i år sammenlignet med 653 for Conti ransomware-gruppen.
“Dette understreger virkelig, hvor mange penge der er at tjene på ransomware. Cuba er en relativt lille spiller, og hvis de tjente $49 millioner, ville andre outfits have tjent betydeligt mere,” sagde Callow til ZDNet. “Og dette er selvfølgelig grunden til, at ransomware er et så vanskeligt problem at håndtere. De massive belønninger betyder, at folk anser risiciene for værd.”
Siden januar har gruppen drevet et lækagested og er blevet en af de mange ransomware-grupper, der truer med at frigive stjålne data, hvis ofrene ikke betaler.
McAfee Advanced Threat Research Team udgav en detaljeret rapport om gruppen i april, hvor de bemærkede mange af de samme ting, som FBI fandt i deres analyse. McAfee-forskere fandt også ud af, at selvom gruppen havde eksisteret i årevis, begyndte den først for nylig at afpresse ofre med sit lækagested.
Koncernen henvender sig typisk til virksomheder i USA, Sydamerika og Europa. McAfee sagde, at gruppen har solgt stjålne data i nogle tilfælde.
“Cuba ransomware er en ældre ransomware, der har været aktiv i de sidste par år. Aktørerne bag det skiftede for nylig til at lække de stjålne data for at øge dets virkning og indtjening, meget som vi har set for nylig med andre store ransomware-kampagner,” forklarede McAfee-rapporten.
“I vores analyse observerede vi, at angriberne havde adgang til netværket før infektionen og var i stand til at indsamle specifik information for at orkestrere angrebet og have den største effekt. Angriberne opererer ved hjælp af et sæt PowerShell-scripts, der gør dem i stand til at flytte sideværts. Løsesummen nævner, at dataene blev eksfiltreret, før de blev krypteret.”
Gruppen lavede bølger i februar, da de angreb betalingsprocessoren Automatic Funds Transfer Services, hvilket tvang flere amerikanske stater til at udsende breve om brud. Først rapporteret af Bleeping Computer, involverede angrebet tyveri af “økonomiske dokumenter, korrespondance med bankansatte, kontobevægelser, balancer og skattedokumenter.” Hændelsen forårsagede også betydelig skade på virksomhedens tjenester i ugevis.
Flere stater var bekymrede, fordi de brugte virksomheden til en række tjenester, der gav dem adgang til folks navne, adresser, telefonnumre, nummerpladenumre, VIN-numre, kreditkortoplysninger, papirchecks og andre faktureringsoplysninger, ifølge Bleeping Computer. Staten Californien og flere byer i staten Washington blev berørt og udsendte breve om brudmeddelelser.
Allan Liska, en ransomware-ekspert hos Recorded Future, sagde, at FBI-rapporten også viste observerbarhedsproblemet med ransomware-landskabet.
“Der var 28 ofre offentliggjort på Cuba-afpresningsstedet, men FBI vidste om mindst 49 ofre. Vi kendte kun omkring 1/2 af deres ofre,” sagde Liska.
“På trods af det lille antal ofre viser FBI, som hævder, at de tjente mindst 43,9 millioner dollars, at ransomware fortsætter med at være ekstremt profitabelt for disse trusselsaktører. Deres mål havde en tendens til at være mellemstore organisationer og var spredt rundt om i verden. Jeg tror, det viser der er meget, vi ikke ved.”
Sikkerhed
Her er den perfekte gave til at beskytte enhver med en pc, Mac, iPhone eller Android, der er ramt af ransomware? Begå ikke denne første åbenlyse fejl. Over en million WordPress-websteder er blevet brudt Hackere brugte denne softwarefejl til at stjæle kreditkortoplysninger fra tusindvis af onlineforhandlere Regeringen – USA