Cuba ransomware-operatører “tjent” $ 44 million

Helga Smithdecember 8, 2021Sidst opdateret: december 8, 2021
18 1 minuts læsning

Embedsmænd fra Federal Bureau of Investigation (FBI) sige Cuba ransomware-operatører tjente mindst $ 43.9 millioner i år.

I en nødsituation udgivet advarsel den anden dag, det FBI skriver, at Cuba gruppen har “kompromitteret i det mindste 49 organisationer i fem kritiske infrastruktursektorer, herunder den finansielle og offentlige sektor, sundhedsvæsen, produktion og IT.”

Retshåndhævende embedsmænd siger, at de sporede Cubas angreb på systemer inficeret med Hancitor malware, som bruger phishing-e-mails, kompromitterede legitimationsoplysninger, eller brute-tvinger RDP til at få adgang til sårbare Windows-maskiner og udnytter sårbarheder i Microsoft Udveksling. Efter Hancitor er inficeret, adgang til et sådant system udlejes til andre hackere, der bruger Malware-som-en-tjeneste model.

Cuba ransomware, ved kompromis, installerer og udfører en CobaltStrike beacon som en tjeneste på ofrets netværk via PowerShell. Når den er installeret, ransomware downloader to eksekverbare filer, som inkluderer "pones.exe" til adgangskodeanskaffelse og "krots.exe," også kendt som KPOT, gør det muligt for Cubas ransomware-aktører at skrive til det kompromitterede systems midlertidige (TMP) fil. Yderligere, Cuba ransomware-skuespillere bruger MimiKatz malware til at stjæle legitimationsoplysninger, og brug derefter RDP til at logge på den kompromitterede netværksvært med en specifik brugerkonto.FBI informationssikkerhedseksperter fortalte.

Mens en McAfee rapport på Cuba sidste år fandt ingen forbindelse mellem de to grupper, FBI-dokumentet siger, at der nu ser ud til at være et nyt partnerskab mellem MaaS leverandøren og ransomwaren. Den offentliggjorte FBI dokument beskriver, hvordan en typisk Hancitor-til-Cuba infektion forekommer og viser indikatorer for kompromis.

Grammofonpladen skriver, at før de krypterer ofrene’ data, Cuba-operatører stjæler information og truer derefter med at offentliggøre disse filer på deres hjemmeside på darknet, hvis offeret ikke betaler løsesummen. Ifølge data indsamlet af analytikere på Optaget fremtid, webstedet er allerede opført 28 virksomheder, der har nægtet at betale.

FBI sagde $ 43.9 millioner var blot faktiske betalinger til ofrene, men i første omgang krævede hackerne mere end $ 74 millioner fra ofrene, men nogle nægtede at betale.

Lad mig minde dig om, at vi også rapporterede det Hive ransomware inficeret af Mediemarked og dets operatører efterspørger $ 240 million.

Mærker
Helga Smithdecember 8, 2021Sidst opdateret: december 8, 2021
18 1 minuts læsning

Helga Smith

Jeg var altid interesseret i datalogi, især datasikkerhed og temaet, som kaldes i dag "datavidenskab", siden mine tidlige teenagere. Før du kommer ind i Virus Removal-teamet som chefredaktør, Jeg arbejdede som cybersikkerhedsekspert i flere virksomheder, inklusive en af ​​Amazons entreprenører. En anden oplevelse: Jeg har undervisning på universitetene i Arden og Reading.

Efterlad et Svar

Dette websted bruger Akismet at reducere spam. Lær hvordan din kommentar data behandles.

Tilbage til toppen knap