Kubas ransomware-operatörer “tjänade” $ 44 miljon

Helga Smithdecember 8, 2021Senast uppdaterad: december 8, 2021
18 1 läst minut

Tjänstemän från Federal Bureau of Investigation (FBI) säga Kubas ransomware-operatörer tjänade åtminstone $ 43.9 miljoner i år.

I en nödsituation släpptes varning häromdagen, de FBI skriver att Kuba gruppen har “kompromissad åtminstone 49 organisationer inom fem kritiska infrastruktursektorer, inklusive den finansiella och offentliga sektorn, sjukvård, tillverkning och IT.”

Brottsbekämpande tjänstemän säger att de spårade Kubas attacker på system infekterade med Hancitor skadliga program, som använder nätfiske-e-post, äventyrade referenser, eller brute-forcering RDP för att komma åt sårbara Windows-maskiner och utnyttjar sårbarheter i Microsoft Utbyta. Efter att Hancitor är smittad, tillgång till ett sådant system hyrs ut till andra hackare som använder Malware-as-a-Service modell.

Kuba ransomware, vid kompromiss, installerar och kör en CobaltStrike beacon som en tjänst på offrets nätverk via PowerShell. När den är installerad, ransomwaren laddar ner två körbara filer, som inkluderar "pones.exe" för lösenordsinhämtning och "krots.exe," också känd som KPOT, gör det möjligt för Kubas ransomware-aktörer att skriva till det komprometterade systemets tillfälliga (TMP) fil. Ytterligare, Kubas ransomware-skådespelare använder MimiKatz skadlig programvara för att stjäla referenser, och använd sedan RDP för att logga in på den komprometterade nätverksvärden med ett specifikt användarkonto.FBI:s informationssäkerhetsexperter berättade.

Medan en McAfee Rapportera på Kuba förra året hittade ingen koppling mellan de två grupperna, FBI-dokumentet säger att det nu verkar finnas ett nytt partnerskap mellan MaaS leverantören och ransomware. Den publicerade FBI dokument beskriver hur en typisk Hancitor-till-Kuba infektion inträffar och listar indikatorer på kompromiss.

Skivan skriver att innan de krypterar offren’ data, Kubasoperatörer stjäl information och hotar sedan att publicera dessa filer på deras webbplats på darknet om offret inte betalar lösensumman. Enligt uppgifter sammanställda av analytiker på Inspelad framtid, sajten har redan listats 28 företag som har vägrat att betala.

FBI sa att $ 43.9 miljoner var bara faktiska betalningar till offren, men till en början krävde hackarna mer än $ 74 miljoner från offren, men några vägrade att betala.

Låt mig påminna dig om att vi också rapporterade det Bikupa ransomware infekterad av Mediemarknad och dess operatörer kräver $ 240 miljon.

Taggar
Helga Smithdecember 8, 2021Senast uppdaterad: december 8, 2021
18 1 läst minut

Helga Smith

Jag var alltid intresserad av datavetenskap, särskilt datasäkerhet och temat, som kallas nuförtiden "datavetenskap", sedan mina tidiga tonåringar. Innan du kommer in i Virusborttagningsteamet som chefredaktör, Jag arbetade som cybersäkerhetsexpert i flera företag, inklusive en av Amazons entreprenörer. En annan upplevelse: Jag har undervisning vid universitet i Arden och Reading.

Lämna ett svar

Denna webbplats använder Akismet att minska mängden skräppost. Lär dig hur din kommentar data bearbetas.

Tillbaka till toppen