Opérateurs de ransomware à Cuba “gagné” $ 44 million

Helga Smithdécembre 8, 2021Dernière mise à jour: décembre 8, 2021
17 Temps de lecture 1 minute

Fonctionnaires du Federal Bureau of Investigation (FBI) dire Les opérateurs de ransomware cubains ont gagné au moins $ 43.9 millions cette année.

Dans un avertissement d'urgence publié l'autre jour, la FBI écrit que le Cuba le groupe a “compromis au moins 49 organisations dans cinq secteurs d'infrastructures critiques, y compris le secteur financier et public, soins de santé, fabrication et informatique.”

Les responsables de l'application des lois disent avoir suivi les attaques de Cuba sur des systèmes infectés par le Hancitor les logiciels malveillants, qui utilise des e-mails de phishing, identifiants compromis, ou RDP de force brute pour accéder aux machines Windows vulnérables et exploiter les vulnérabilités dans Microsoft Échanger. Après Hancitor est infecté, l'accès à un tel système est loué à d'autres pirates utilisant le Malware-as-a-Service maquette.

Cuba ransomware, sur compromis, installe et exécute un CobaltGrève balise en tant que service sur le réseau de la victime via PowerShell. Une fois installé, le ransomware télécharge deux fichiers exécutables, qui incluent "pones.exe" pour l'acquisition de mot de passe et "krots.exe," aussi connu sous le nom KPOT, permettant aux acteurs cubains des ransomwares d'écrire sur la mémoire temporaire du système compromis (TMP) déposer. Plus loin, Les acteurs cubains des ransomwares utilisent MimiKatz malware pour voler les identifiants, puis utilisez RDP pour vous connecter à l'hôte réseau compromis avec un compte d'utilisateur spécifique.Des experts en sécurité de l'information du FBI ont dit.

Alors qu'un McAfee rapport sur Cuba l'année dernière n'a trouvé aucun lien entre les deux groupes, le document du FBI dit qu'il semble maintenant y avoir un nouveau partenariat entre le MaaS vendeur et le ransomware. Le publié document du FBI décrit comment un type Hancitor à Cuba l'infection se produit et répertorie les indicateurs de compromission.

L'enregistrement écrit qu'avant de chiffrer les victimes’ Les données, Les opérateurs cubains volent des informations puis menacent de publier ces fichiers sur leur site Web sur le darknet si la victime ne paie pas la rançon. Selon les données compilées par les analystes de Avenir enregistré, le site a déjà répertorié 28 entreprises qui ont refusé de payer.

Le FBI a déclaré que le $ 43.9 millions n'étaient que des paiements réels aux victimes, mais au départ, les pirates ont exigé plus que $ 74 millions des victimes, mais certains ont refusé de payer.

Permettez-moi de vous rappeler que nous avons également signalé que Ruche ransomware infecté par Marché des médias et ses opérateurs exigent $ 240 million.

Mots clés
Helga Smithdécembre 8, 2021Dernière mise à jour: décembre 8, 2021
17 Temps de lecture 1 minute

Helga Smith

J'ai toujours été intéressé par l'informatique, en particulier la sécurité des données et le thème, qui s'appelle de nos jours "science des données", depuis mon adolescence. Avant de rejoindre l'équipe de suppression de virus en tant que rédacteur en chef, J'ai travaillé comme expert en cybersécurité dans plusieurs entreprises, dont l'un des sous-traitants d'Amazon. Une autre expérience: J'ai enseigné dans les universités d'Arden et de Reading.

Laisser un commentaire

Ce site utilise Akismet pour réduire le spam. Découvrez comment vos données de commentaire est traité.

Bouton retour en haut de la page