古巴勒索破壞了美國49個關鍵基礎設施組織

聯邦調查局 (FBI) 透露，古巴勒索軟件團伙已經破壞了來自美國關鍵基礎設施部門的至少49個組織的網絡。

“截至2021年11月初，美國聯邦調查局已經確定，古巴勒索軟件攻擊者已經入侵了5個關鍵基礎設施部門的至少49個實體，包括但不限于金融、政府、醫療保健、制造和信息技術部門，”聯邦法律執法機構說。

聯邦調查局還補充說，這個勒索軟件集團自開始針對美國公司以來已經賺了超過4390萬美元。FBI補充說：“古巴勒索軟件的參與者要求至少7400萬美元，并收到至少 4390萬美元的贖金。”

對比看這在勒索行業(從美國獲取)屬于什么樣的水平：

• Darkside–2020 年 10 月至 2021 年 5 月期間為9000萬美元。
• Maze/Egregor–7500萬美元
• Ryuk–1.5億美元
• REvil–2020年為1.23 億美元
• Netwalker–2020年3月至7月期間為2500萬美元
• Conti –2021年7月至11月期間為2550萬美元

這是在聯邦調查局與網絡安全和基礎設施安全局 (CISA) 協調發布的快速警報中披露的，重點是分享與古巴勒索軟件相關的受損指標。

古巴勒索軟件通過Hancitor傳播

Cuba勒索軟件通過Hancitor惡意軟件下載器在受害者的網絡上傳播，這使得勒索軟件團伙可以更輕松地訪問以前受感染的公司網絡。

Hancitor(Chancitor)以提供信息竊取程序、遠程訪問木馬(RAT)和其他類型的勒索軟件而聞名。Zscaler發現它分發Vawtrak信息竊取木馬。從那以后，它轉向竊取密碼，包括Pony和Ficker，以及最近的Cobalt Strike。為了對受害者的系統進行初步入侵，Hancitor使用網絡釣魚電子郵件和被盜憑據、利用Microsoft Exchange漏洞或通過遠程桌面協議(RDP)工具闖入。

一旦使用Hancitor提供的訪問權限，Cuba勒索軟件運營商將使用合法的Windows服務（例如：PowerShell、PsExec和各種其他未指定的服務）遠程部署他們的勒索軟件負載并使用“.cuba”擴展名加密文件。

請求與古巴勒索軟件攻擊相關的信息

在緊急警報中，FBI還要求在其企業網絡中檢測到Cuba勒索軟件活動的系統管理員和安全專業人員與當地的FBI Cyber Squad分享他們擁有的任何相關信息。

可以共享以幫助識別該勒索軟件團伙背后的攻擊者的有用信息包括“顯示與外國 IP 地址之間的通信的邊界日志、比特幣錢包信息、解密器文件和/或加密文件的良性樣本。”聯邦調查局補充說，它不鼓勵勒索軟件付款，并建議目標不要這樣做，因為無法保證付款將防止數據泄漏或未來的攻擊。 相反，這會促使勒索軟件針對更多受害者進行操作，并激勵其他網絡犯罪團體加入他們進行類似的非法活動。

然而，聯邦機構承認勒索軟件攻擊可能對企業造成損害，因為高管可能被迫考慮支付贖金以保護股東、客戶或員工。聯邦調查局強烈敦促向當地聯邦調查局外地辦事處報告此類事件。