FBI har släppt ett nytt meddelande om Kuba ransomware, som förklarar att gruppen har attackerat “49 enheter i fem kritiska infrastruktursektorer” och gjort minst 43,9 miljoner dollar i lösensumma.
I ett meddelande som skickades ut på fredagen sa FBI att gruppen riktar sig till företag inom finans-, regerings-, hälsovårds-, tillverknings- och informationsteknologisektorerna medan de använder Hancitor skadlig programvara för att komma in i Windows-system.
“Kuba ransomware distribueras genom Hancitor malware, en laddare som är känd för att släppa eller köra stjälare, såsom Remote Access Trojans (RATs) och andra typer av ransomware, till offrens nätverk”, förklaras det i meddelandet. att de krypterade filerna har tillägget “.cuba”.
“Hancitor malware-aktörer använder nätfiske-e-postmeddelanden, Microsoft Exchange-sårbarheter, komprometterade referenser eller legitima Remote Desktop Protocol (RDP)-verktyg för att få första åtkomst till ett offers nätverk. Därefter använder Kubas ransomware-aktörer legitima Windows-tjänster – som PowerShell, PsExec, och andra ospecificerade tjänster – och sedan utnyttja Windows Admin-privilegier för att exekvera sina ransomware och andra processer på distans.”
De iögonfallande lösenutbetalningarna överskred den summa pengar som gruppen har krävt från offren, som FBI fastställde till 74 miljoner dollar.
När ett offer har äventyrats installeras och kör ransomwaren en CobaltStrike-beacon medan två körbara filer laddas ner. De två filerna tillåter angripare att skaffa lösenord och “skriva till det komprometterade systemets temporära (TMP) fil.”
“När väl TMP-filen har laddats upp, raderas 'krots.exe'-filen och TMP-filen körs i det komprometterade nätverket. TMP-filen inkluderar Application Programming Interface (API)-anrop relaterade till minnesinjektion som, när de har körts, raderar sig själv från systemet. Vid radering av TMP-filen börjar det komprometterade nätverket kommunicera med ett rapporterat skadlig program som finns på Montenegro-baserade Uniform Resource Locator (URL) teoresp.com”, förklarade FBI.
“Vidare använder Kubas ransomware-aktörer MimiKatz malware för att stjäla referenser, och använder sedan RDP för att logga in på den komprometterade nätverksvärden med ett specifikt användarkonto. När en RDP-anslutning är klar använder Kuba ransomware-aktörerna CobaltStrike-servern för att kommunicera med den komprometterade användarkonto. En av de initiala PowerShell-skriptfunktionerna tilldelar minnesutrymme för att köra en base64-kodad nyttolast. När denna nyttolast väl har laddats in i minnet kan den användas för att nå fjärrkommando-och-kontroll-servern (C2) och sedan distribuera nästa steg av filer för ransomware. Fjärrservern för C2 finns på den skadliga webbadressen kurvalarva.com.”
FBI inkluderade annan attackinformation samt ett exempel på lösensumma och e-post som angriparna vanligtvis inkluderar.
Ransomware-experter var något förvånade över hur mycket pengar gruppen tjänade med tanke på deras aktivitetsnivå i förhållande till andra mer framstående ransomware-grupper.
Emsisofts hotanalytiker Brett Callow sa att rapporten illustrerade hur lukrativ ransomware-industrin anser att Kuba ransomware-gruppen inte finns på deras topp tio-lista vad gäller aktivitet.
Hans data visar 105 Cuba ransomware-inlämningar i år jämfört med 653 för Conti ransomware-gruppen.
“Detta belyser verkligen hur mycket pengar det finns att tjäna på ransomware. Kuba är en relativt liten aktör och om de tjänade 49 miljoner dollar skulle andra kläder ha tjänat betydligt mer”, sa Callow till ZDNet. “Och det är naturligtvis därför ransomware är ett så svårt problem att hantera. De enorma belöningarna gör att människor anser att riskerna är värda besväret.”
Sedan januari har gruppen drivit en läckagesida och blivit en av de många ransomware-grupper som hotar att släppa stulen data om offren inte betalar.
McAfee Advanced Threat Research Team släppte en detaljerad rapport om gruppen i april och noterade många av samma saker som FBI hittade i sin analys. McAfee-forskare fann också att även om gruppen hade funnits i flera år, började den först nyligen utpressa offer med sin läckaplats.
Gruppen riktar sig vanligtvis till företag i USA, Sydamerika och Europa. McAfee sa att gruppen har sålt stulen data i vissa fall.
“Kuba ransomware är en äldre ransomware som har varit aktiv under de senaste åren. Aktörerna bakom den gick nyligen över till att läcka stulna data för att öka dess inverkan och intäkter, ungefär som vi nyligen har sett med andra stora ransomware-kampanjer”, förklarade McAfee-rapporten.
“I vår analys observerade vi att angriparna hade tillgång till nätverket före infektionen och kunde samla in specifik information för att orkestrera attacken och ha störst effekt. Angriparna använder en uppsättning PowerShell-skript som gör det möjligt för dem att flytta i sidled. Lösennotan nämner att data exfiltrerades innan de krypterades.”
Gruppen skapade vågor i februari när de attackerade betalningsprocessorn Automatic Funds Transfer Services, vilket tvingade flera amerikanska delstater att skicka ut meddelanden om intrång. Först rapporterades av Bleeping Computer, attacken involverade stöld av “ekonomiska dokument, korrespondens med bankanställda, kontoförflyttningar, balansräkningar och skattedokument.” Incidenten orsakade också betydande skada på företagets tjänster i veckor.
Flera stater var oroliga eftersom de använde företaget för en mängd olika tjänster som gav dem tillgång till personers namn, adresser, telefonnummer, registreringsskyltnummer, VIN-nummer, kreditkortsinformation, papperscheckar och andra faktureringsdetaljer, enligt Bleeping Computer. Delstaten Kalifornien och flera städer i delstaten Washington påverkades och skickade ut meddelanden om intrång.
Allan Liska, en ransomware-expert med Recorded Future, sa att FBI-rapporten också visade observerbarhetsproblemet med ransomware-landskapet.
“Det publicerades 28 offer på utpressningsplatsen på Kuba, men FBI kände till minst 49 offer. Vi kände bara till cirka 1/2 av deras offer,” sa Liska.
“Trots det lilla antalet offer visar FBI att de tjänade minst 43,9 miljoner dollar att ransomware fortsätter att vara extremt lönsamt för dessa hotaktörer. Deras mål tenderade att vara medelstora organisationer och spreds över hela världen. Jag tror att det visar det finns mycket vi inte vet.”
Säkerhet
Här är den perfekta presenten för att skydda alla med en PC, Mac, iPhone eller Android Hit by ransomware? Gör inte detta första uppenbara misstag. Över en miljon WordPress-webbplatser har brutits Hackare använde detta mjukvarufel för att stjäla kreditkortsuppgifter från tusentals onlineåterförsäljare Regering – USA