联邦调查局警告说,cuba勒索软件团伙已经开始进行攻击,截至11月,美国至少已经有五个关键部门49个实体受到了影响。
在一份紧急警报中,联邦调查局发现该团伙已经对美国的金融、政府、医疗保健、制造业和信息技术领域的多个实体进行了一系列的网络攻击。总体而言,这些攻击使攻击者获得了4400万美元的勒索赎金。这比该团伙在整个攻击中实际要求的7400万美元的一半多一点,这表明并不是所有的公司都全额支付了赎金。
这里联邦调查局并没有提到具体的受害者,但在上个月该局还警告说,该团伙的攻击目标是全美境内的赌场。
联邦调查局指出,攻击团伙使用的勒索软件是通过在第一阶段向系统植入木马来进行传播的,并且它还作为后续有效载荷的加载器进行使用,而且该软件已经存在了至少五年了。根据联邦调查局的警报,攻击者通过钓鱼邮件、微软Exchange漏洞、泄露的凭证或合法的远程桌面协议(RDP)工具来获得对目标机器的初始访问权限。
在软件安装成功后,勒索软件的攻击者还会使用大量合法的Windows服务进行攻击,如PowerShell、PsExec和Cobalt Strike,这些都是网络犯罪分子为实现横向移动而大量使用的合法测试工具。该工具使用信标来有效识别目标环境中的可利用漏洞。
根据联邦调查局的分析,Cobalt Strike信标通过PowerShell安装在受害者的网络上。一旦安装成功后,勒索软件就会下载两个可执行文件,其中包括用于获取密码的pones.exe和krots.exe文件,这两个文件也被称为KPOT,这就使得勒索软件攻击者能够对系统中的临时(TMP)文件有写入的权限。
一旦TMP文件上传成功,KPOT就会被删除,这一招是为了销毁勒索软件的攻击痕迹。之后TMP文件就会在被攻击的网络中进行执行。
警报说:"TMP文件使用了与内存注入有关的API调用,一旦执行成功,该文件将会从系统中删除。在删除TMP文件后,被攻击的网络就开始与位于黑山的域名teoresp.com进行通信。"
cuba攻击者还使用了MimiKatz恶意软件来窃取受害者的凭证,然后使用远程桌面协议(RDP)以特定的用户账户来登录被入侵的网络主机。
根据分析,一旦RDP连接成功,cuba勒索软件的攻击者就会使用Cobalt Strike服务器与被攻击的用户账户进行通信。最初的PowerShell攻击脚本中就含有分配内存空间来运行一个base64编码的有效载荷功能。一旦这个有效载荷被加载到内存中,它就可以用来执行远程命令和控制(C2)服务器的命令,然后接着部署下一阶段的攻击文件。
所有被攻击的文件都会以".cuba "为扩展名进行加密,这也是该勒索软件的名称。
联邦调查局/国际安全局联合警告各组织在假日期间要格外警惕。
根据该警告,虽然CISA和FBI目前都没有确定任何具体的威胁,但最近2021年的趋势显示,恶意网络攻击者在节假日和周末,包括独立日和母亲节的周末,发起了严重的勒索软件攻击活动,造成了巨大的影响。
勒索软件的攻击策略在不断演变。研究人员通过电子邮件说,从勒索软件的商业化到最近的勒索服务工具的出现,再到越来越复杂的攻击策略。为了防止攻击,这里需要组织和政府进行不断的监测和教育。
各个组织可以采取各种措施,通过实施各种安全方式来保护自己,如对员工进行钓鱼邮件识别的培训、及时打补丁、实施电子邮件安全解决方案、定期进行渗透测试和漏洞扫描、网络隔离、数据加密、远程备份,以及使用一个强大的、经过测试的事件响应制度。
不幸的是,我们生活在一个不可能100%预防网络危机的时代,但保持一定的警惕性、持续进行网络威胁教育以及计划周密的威胁检测和响应策略将大大有助于保持组织内部敏感数据的安全。
本文翻译自:https://threatpost.com/cuba-ransomware-gang-44m-payouts/176790/如若转载,请注明原文地址。
