文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

“Cuba”勒索软件团伙获得了4400万美元的赎金

2024-12-02 13:34

关注

联邦调查局警告说,cuba勒索软件团伙已经开始进行攻击,截至11月,美国至少已经有五个关键部门49个实体受到了影响。

在一份紧急警报中,联邦调查局发现该团伙已经对美国的金融、政府、医疗保健、制造业和信息技术领域的多个实体进行了一系列的网络攻击。总体而言,这些攻击使攻击者获得了4400万美元的勒索赎金。这比该团伙在整个攻击中实际要求的7400万美元的一半多一点,这表明并不是所有的公司都全额支付了赎金。

这里联邦调查局并没有提到具体的受害者,但在上个月该局还警告说,该团伙的攻击目标是全美境内的赌场。

联邦调查局指出,攻击团伙使用的勒索软件是通过在第一阶段向系统植入木马来进行传播的,并且它还作为后续有效载荷的加载器进行使用,而且该软件已经存在了至少五年了。根据联邦调查局的警报,攻击者通过钓鱼邮件、微软Exchange漏洞、泄露的凭证或合法的远程桌面协议(RDP)工具来获得对目标机器的初始访问权限。

在软件安装成功后,勒索软件的攻击者还会使用大量合法的Windows服务进行攻击,如PowerShell、PsExec和Cobalt Strike,这些都是网络犯罪分子为实现横向移动而大量使用的合法测试工具。该工具使用信标来有效识别目标环境中的可利用漏洞。

根据联邦调查局的分析,Cobalt Strike信标通过PowerShell安装在受害者的网络上。一旦安装成功后,勒索软件就会下载两个可执行文件,其中包括用于获取密码的pones.exe和krots.exe文件,这两个文件也被称为KPOT,这就使得勒索软件攻击者能够对系统中的临时(TMP)文件有写入的权限。

一旦TMP文件上传成功,KPOT就会被删除,这一招是为了销毁勒索软件的攻击痕迹。之后TMP文件就会在被攻击的网络中进行执行。

警报说:"TMP文件使用了与内存注入有关的API调用,一旦执行成功,该文件将会从系统中删除。在删除TMP文件后,被攻击的网络就开始与位于黑山的域名teoresp.com进行通信。"

cuba攻击者还使用了MimiKatz恶意软件来窃取受害者的凭证,然后使用远程桌面协议(RDP)以特定的用户账户来登录被入侵的网络主机。

根据分析,一旦RDP连接成功,cuba勒索软件的攻击者就会使用Cobalt Strike服务器与被攻击的用户账户进行通信。最初的PowerShell攻击脚本中就含有分配内存空间来运行一个base64编码的有效载荷功能。一旦这个有效载荷被加载到内存中,它就可以用来执行远程命令和控制(C2)服务器的命令,然后接着部署下一阶段的攻击文件。

所有被攻击的文件都会以".cuba "为扩展名进行加密,这也是该勒索软件的名称。

联邦调查局/国际安全局联合警告各组织在假日期间要格外警惕。

根据该警告,虽然CISA和FBI目前都没有确定任何具体的威胁,但最近2021年的趋势显示,恶意网络攻击者在节假日和周末,包括独立日和母亲节的周末,发起了严重的勒索软件攻击活动,造成了巨大的影响。

勒索软件的攻击策略在不断演变。研究人员通过电子邮件说,从勒索软件的商业化到最近的勒索服务工具的出现,再到越来越复杂的攻击策略。为了防止攻击,这里需要组织和政府进行不断的监测和教育。

各个组织可以采取各种措施,通过实施各种安全方式来保护自己,如对员工进行钓鱼邮件识别的培训、及时打补丁、实施电子邮件安全解决方案、定期进行渗透测试和漏洞扫描、网络隔离、数据加密、远程备份,以及使用一个强大的、经过测试的事件响应制度。

不幸的是,我们生活在一个不可能100%预防网络危机的时代,但保持一定的警惕性、持续进行网络威胁教育以及计划周密的威胁检测和响应策略将大大有助于保持组织内部敏感数据的安全。

本文翻译自:https://threatpost.com/cuba-ransomware-gang-44m-payouts/176790/如若转载,请注明原文地址。

 

来源:嘶吼网内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯