FBI: Kelompok ransomware Kuba menyerang 49 organisasi infrastruktur penting
Security

FBI: Kelompok ransomware Kuba menyerang 49 organisasi infrastruktur penting

FBI telah merilis pemberitahuan baru tentang ransomware Kuba, menjelaskan bahwa kelompok tersebut telah menyerang “49 entitas di lima sektor infrastruktur penting” dan melakukan pembayaran tebusan setidaknya $43,9 juta.

Dalam pemberitahuan yang dikirim pada hari Jumat, FBI mengatakan kelompok itu menargetkan perusahaan di sektor keuangan, pemerintah, perawatan kesehatan, manufaktur, dan teknologi informasi saat menggunakan malware Hancitor untuk masuk ke sistem Windows.

“Cuba ransomware didistribusikan melalui malware Hancitor, pemuat yang dikenal untuk menjatuhkan atau mengeksekusi pencuri, seperti Remote Access Trojans (RAT) dan jenis ransomware lainnya, ke jaringan korban,” pemberitahuan itu menjelaskan, mencatat bahwa file terenkripsi memiliki ” ekstensi .cuba”.

“Aktor malware Hancitor menggunakan email phishing, kerentanan Microsoft Exchange, kredensial yang disusupi, atau alat Remote Desktop Protocol (RDP) yang sah untuk mendapatkan akses awal ke jaringan korban. Selanjutnya, pelaku ransomware Kuba menggunakan layanan Windows yang sah — seperti PowerShell, PsExec, dan layanan lain yang tidak ditentukan — lalu manfaatkan hak istimewa Admin Windows untuk mengeksekusi ransomware dan proses lainnya dari jarak jauh.”

Pembayaran uang tebusan yang luar biasa itu dikerdilkan oleh jumlah uang yang diminta kelompok itu dari para korban, yang dipatok FBI sebesar $74 juta.

Setelah korban disusupi, ransomware menginstal dan menjalankan suar CobaltStrike sementara dua file yang dapat dieksekusi diunduh. Kedua file memungkinkan penyerang untuk memperoleh kata sandi dan “menulis ke file sementara (TMP) sistem yang disusupi.”

“Setelah file TMP diunggah, file ‘krots.exe’ dihapus dan file TMP dieksekusi di jaringan yang disusupi. File TMP menyertakan panggilan Application Programming Interface (API) yang terkait dengan injeksi memori yang, setelah dijalankan, menghapus dirinya sendiri.” dari sistem. Setelah file TMP dihapus, jaringan yang disusupi mulai berkomunikasi dengan repositori malware yang dilaporkan yang terletak di Uniform Resource Locator (URL) teoresp.com yang berbasis di Montenegro,” jelas FBI.

“Selanjutnya, pelaku ransomware Kuba menggunakan malware MimiKatz untuk mencuri kredensial, dan kemudian menggunakan RDP untuk masuk ke host jaringan yang disusupi dengan akun pengguna tertentu. Setelah koneksi RDP selesai, pelaku ransomware Kuba menggunakan server CobaltStrike untuk berkomunikasi dengan yang disusupi. akun pengguna. Salah satu fungsi skrip PowerShell awal mengalokasikan ruang memori untuk menjalankan muatan yang dikodekan base64. Setelah muatan ini dimuat ke dalam memori, muatan ini dapat digunakan untuk mencapai server perintah-dan-kontrol (C2) jarak jauh dan kemudian menyebarkan file tahap berikutnya untuk ransomware. Server C2 jarak jauh terletak di URL jahat kurvalarva.com.”

FBI memasukkan informasi serangan lainnya serta contoh catatan tebusan dan email yang biasanya disertakan oleh penyerang.

Pakar ransomware agak terkejut dengan jumlah uang yang dihasilkan grup mengingat tingkat aktivitas mereka relatif terhadap grup ransomware lain yang lebih menonjol.

Analis ancaman Emsisoft Brett Callow mengatakan laporan tersebut menggambarkan betapa menguntungkannya industri ransomware mengingat kelompok ransomware Kuba tidak berada dalam daftar sepuluh besar mereka dalam hal aktivitas.

datanya menunjukkan 105 pengiriman ransomware Kuba tahun ini dibandingkan dengan 653 untuk grup ransomware Conti.

“Ini benar-benar menyoroti berapa banyak uang yang bisa dihasilkan dari ransomware. Kuba adalah pemain yang relatif kecil dan jika mereka menghasilkan $49 juta, pakaian lain akan menghasilkan jauh lebih banyak,” kata Callow kepada ZDNet. “Dan ini, tentu saja, adalah mengapa ransomware adalah masalah yang sulit untuk ditangani. Hadiah besar berarti orang menganggap risikonya berharga.”

Sejak Januari, kelompok tersebut telah mengoperasikan situs kebocoran, menjadi salah satu dari banyak kelompok ransomware yang mengancam akan merilis data curian jika korban tidak membayar.

Tim Riset Ancaman Lanjutan McAfee merilis laporan terperinci tentang kelompok itu pada bulan April, mencatat banyak hal yang sama yang ditemukan FBI dalam analisis mereka. Peneliti McAfee juga menemukan bahwa meskipun kelompok tersebut telah ada selama bertahun-tahun, baru belakangan ini mereka mulai memeras korban dengan situs kebocorannya.

Grup ini biasanya menargetkan perusahaan di AS, Amerika Selatan, dan Eropa. McAfee mengatakan bahwa kelompok tersebut telah menjual data curian dalam beberapa kasus.

“Cuba ransomware adalah ransomware lama yang telah aktif selama beberapa tahun terakhir. Pelaku di baliknya baru-baru ini beralih untuk membocorkan data yang dicuri untuk meningkatkan dampak dan pendapatannya, seperti yang baru-baru ini kita lihat dengan kampanye ransomware besar lainnya,” McAfee laporan menjelaskan.

“Dalam analisis kami, kami mengamati bahwa penyerang memiliki akses ke jaringan sebelum infeksi dan mampu mengumpulkan informasi spesifik untuk mengatur serangan dan memiliki dampak terbesar. Penyerang beroperasi menggunakan satu set skrip PowerShell yang memungkinkan mereka untuk bergerak ke samping. Catatan tebusan menyebutkan bahwa data telah dieksfiltrasi sebelum dienkripsi.”

Kelompok tersebut membuat gelombang pada bulan Februari ketika mereka menyerang Layanan Transfer Dana Otomatis pemroses pembayaran, memaksa beberapa negara bagian AS untuk mengirimkan surat pemberitahuan pelanggaran. Pertama kali dilaporkan oleh Bleeping Computer, serangan tersebut melibatkan pencurian “dokumen keuangan, korespondensi dengan karyawan bank, pemindahan rekening, neraca dan dokumen pajak.” Insiden itu juga menyebabkan kerusakan signifikan pada layanan perusahaan selama berminggu-minggu.

Beberapa negara bagian khawatir karena mereka menggunakan perusahaan untuk berbagai layanan yang memberi mereka akses ke nama orang, alamat, nomor telepon, nomor plat, nomor VIN, informasi kartu kredit, cek kertas dan rincian tagihan lainnya, menurut Bleeping Computer. Negara bagian California dan beberapa kota di negara bagian Washington terpengaruh dan mengirimkan surat pemberitahuan pelanggaran.

Allan Liska, pakar ransomware dengan Recorded Future, mengatakan laporan FBI juga menunjukkan masalah observabilitas dengan lanskap ransomware.

“Ada 28 korban yang dipublikasikan ke situs pemerasan Kuba, tapi FBI tahu setidaknya 49 korban. Kami hanya tahu sekitar 1/2 dari korban mereka,” kata Liska.

“Meskipun jumlah korbannya kecil, FBI mengklaim bahwa mereka menghasilkan setidaknya $43,9 juta menunjukkan bahwa ransomware terus menjadi sangat menguntungkan bagi para pelaku ancaman ini. Target mereka cenderung organisasi berukuran sedang dan tersebar di seluruh dunia. Saya pikir itu menunjukkan di sana. banyak yang tidak kita ketahui.”


Posted By : togel hari ini hongkong