[[439568]]

聯(lián)邦調(diào)查局警告說(shuō)，cuba勒索軟件團(tuán)伙已經(jīng)開始進(jìn)行攻擊，截至11月，美國(guó)至少已經(jīng)有五個(gè)關(guān)鍵部門49個(gè)實(shí)體受到了影響。

在一份緊急警報(bào)中，聯(lián)邦調(diào)查局發(fā)現(xiàn)該團(tuán)伙已經(jīng)對(duì)美國(guó)的金融、政府、醫(yī)療保健、制造業(yè)和信息技術(shù)領(lǐng)域的多個(gè)實(shí)體進(jìn)行了一系列的網(wǎng)絡(luò)攻擊?？傮w而言，這些攻擊使攻擊者獲得了4400萬(wàn)美元的勒索贖金。這比該團(tuán)伙在整個(gè)攻擊中實(shí)際要求的7400萬(wàn)美元的一半多一點(diǎn)，這表明并不是所有的公司都全額支付了贖金。

這里聯(lián)邦調(diào)查局并沒(méi)有提到具體的受害者，但在上個(gè)月該局還警告說(shuō)，該團(tuán)伙的攻擊目標(biāo)是全美境內(nèi)的賭場(chǎng)。

聯(lián)邦調(diào)查局指出，攻擊團(tuán)伙使用的勒索軟件是通過(guò)在第一階段向系統(tǒng)植入木馬來(lái)進(jìn)行傳播的，并且它還作為后續(xù)有效載荷的加載器進(jìn)行使用，而且該軟件已經(jīng)存在了至少五年了。根據(jù)聯(lián)邦調(diào)查局的警報(bào)，攻擊者通過(guò)釣魚郵件、微軟Exchange漏洞、泄露的憑證或合法的遠(yuǎn)程桌面協(xié)議(RDP)工具來(lái)獲得對(duì)目標(biāo)機(jī)器的初始訪問(wèn)權(quán)限。

在軟件安裝成功后，勒索軟件的攻擊者還會(huì)使用大量合法的Windows服務(wù)進(jìn)行攻擊，如PowerShell、PsExec和Cobalt Strike，這些都是網(wǎng)絡(luò)犯罪分子為實(shí)現(xiàn)橫向移動(dòng)而大量使用的合法測(cè)試工具。該工具使用信標(biāo)來(lái)有效識(shí)別目標(biāo)環(huán)境中的可利用漏洞。

根據(jù)聯(lián)邦調(diào)查局的分析，Cobalt Strike信標(biāo)通過(guò)PowerShell安裝在受害者的網(wǎng)絡(luò)上。一旦安裝成功后，勒索軟件就會(huì)下載兩個(gè)可執(zhí)行文件，其中包括用于獲取密碼的pones.exe和krots.exe文件，這兩個(gè)文件也被稱為KPOT，這就使得勒索軟件攻擊者能夠?qū)ο到y(tǒng)中的臨時(shí)(TMP)文件有寫入的權(quán)限。

一旦TMP文件上傳成功，KPOT就會(huì)被刪除，這一招是為了銷毀勒索軟件的攻擊痕跡。之后TMP文件就會(huì)在被攻擊的網(wǎng)絡(luò)中進(jìn)行執(zhí)行。

警報(bào)說(shuō)："TMP文件使用了與內(nèi)存注入有關(guān)的API調(diào)用，一旦執(zhí)行成功，該文件將會(huì)從系統(tǒng)中刪除。在刪除TMP文件后，被攻擊的網(wǎng)絡(luò)就開始與位于黑山的域名teoresp.com進(jìn)行通信。"

cuba攻擊者還使用了MimiKatz惡意軟件來(lái)竊取受害者的憑證，然后使用遠(yuǎn)程桌面協(xié)議(RDP)以特定的用戶賬戶來(lái)登錄被入侵的網(wǎng)絡(luò)主機(jī)。

根據(jù)分析，一旦RDP連接成功，cuba勒索軟件的攻擊者就會(huì)使用Cobalt Strike服務(wù)器與被攻擊的用戶賬戶進(jìn)行通信。最初的PowerShell攻擊腳本中就含有分配內(nèi)存空間來(lái)運(yùn)行一個(gè)base64編碼的有效載荷功能。一旦這個(gè)有效載荷被加載到內(nèi)存中，它就可以用來(lái)執(zhí)行遠(yuǎn)程命令和控制(C2)服務(wù)器的命令，然后接著部署下一階段的攻擊文件。

所有被攻擊的文件都會(huì)以".cuba "為擴(kuò)展名進(jìn)行加密，這也是該勒索軟件的名稱。

聯(lián)邦調(diào)查局/國(guó)際安全局聯(lián)合警告各組織在假日期間要格外警惕。

根據(jù)該警告，雖然CISA和FBI目前都沒(méi)有確定任何具體的威脅，但最近2021年的趨勢(shì)顯示，惡意網(wǎng)絡(luò)攻擊者在節(jié)假日和周末，包括獨(dú)立日和母親節(jié)的周末，發(fā)起了嚴(yán)重的勒索軟件攻擊活動(dòng)，造成了巨大的影響。

勒索軟件的攻擊策略在不斷演變。研究人員通過(guò)電子郵件說(shuō)，從勒索軟件的商業(yè)化到最近的勒索服務(wù)工具的出現(xiàn)，再到越來(lái)越復(fù)雜的攻擊策略。為了防止攻擊，這里需要組織和政府進(jìn)行不斷的監(jiān)測(cè)和教育。

各個(gè)組織可以采取各種措施，通過(guò)實(shí)施各種安全方式來(lái)保護(hù)自己，如對(duì)員工進(jìn)行釣魚郵件識(shí)別的培訓(xùn)、及時(shí)打補(bǔ)丁、實(shí)施電子郵件安全解決方案、定期進(jìn)行滲透測(cè)試和漏洞掃描、網(wǎng)絡(luò)隔離、數(shù)據(jù)加密、遠(yuǎn)程備份，以及使用一個(gè)強(qiáng)大的、經(jīng)過(guò)測(cè)試的事件響應(yīng)制度。

不幸的是，我們生活在一個(gè)不可能100%預(yù)防網(wǎng)絡(luò)危機(jī)的時(shí)代，但保持一定的警惕性、持續(xù)進(jìn)行網(wǎng)絡(luò)威脅教育以及計(jì)劃周密的威脅檢測(cè)和響應(yīng)策略將大大有助于保持組織內(nèi)部敏感數(shù)據(jù)的安全。

本文翻譯自：https://threatpost.com/cuba-ransomware-gang-44m-payouts/176790/如若轉(zhuǎn)載，請(qǐng)注明原文地址。