FBI: Küba fidye yazılımı grubu 49 kritik altyapı kuruluşu buldu
FBI, Küba fidye yazılımı hakkında yeni bir bildiri yayınladı ve grubun "beş kritik altyapı sektöründeki 49 kuruluşa" saldırdığını ve en az 43,9 milyon dolar fidye ödemesi yaptığını açıkladı.
Cuma günü gönderilen bir bildiride FBI, grubun finans, hükümet, sağlık, üretim ve bilgi teknolojisi sektörlerindeki işletmeleri hedef alırken, Windows sistemlerine girmek için Hancitor kötü amaçlı yazılımını kullandığını söyledi.
Bildirimde, "Küba fidye yazılımı, Uzaktan Erişim Truva Atları (RAT'ler) ve diğer fidye yazılımı türleri gibi hırsızları kurbanların ağlarına bıraktığı veya yürüttüğü bilinen bir yükleyici olan Hancitor kötü amaçlı yazılımı aracılığıyla dağıtılıyor" açıklaması yapıldı ve şifrelenmiş dosyaların " .cuba" uzantısı.
"Hancitor kötü amaçlı yazılım aktörleri, bir kurbanın ağına ilk erişim sağlamak için kimlik avı e-postalarını, Microsoft Exchange güvenlik açıklarını, güvenliği ihlal edilmiş kimlik bilgilerini veya meşru Uzak Masaüstü Protokolü (RDP) araçlarını kullanır. Ardından, Küba fidye yazılımı aktörleri, PowerShell, PsExec, ve diğer belirtilmemiş hizmetler -- ve ardından fidye yazılımlarını ve diğer işlemlerini uzaktan yürütmek için Windows Yönetici ayrıcalıklarından yararlanın."
Göz kamaştırıcı fidye ödemeleri, grubun kurbanlardan talep ettiği ve FBI'ın 74 milyon dolar olarak belirlediği para miktarıyla gölgede kaldı.
Bir kurbanın güvenliği ihlal edildiğinde, fidye yazılımı iki yürütülebilir dosya indirilirken bir CobaltStrike işaretçisi yükler ve yürütür. İki dosya, saldırganların parola almasına ve "güvenliği ihlal edilmiş sistemin geçici (TMP) dosyasına yazmasına" olanak tanır.
"TMP dosyası yüklendikten sonra, 'krots.exe' dosyası silinir ve TMP dosyası, güvenliği ihlal edilmiş ağda yürütülür. TMP dosyası, yürütüldüğünde kendini silen, bellek enjeksiyonu ile ilgili Uygulama Programlama Arayüzü (API) çağrılarını içerir. FBI, TMP dosyasının silinmesinin ardından, güvenliği ihlal edilen ağ, Karadağ merkezli Tekdüzen Kaynak Bulucu (URL) teoresp.com'da bulunan bildirilen bir kötü amaçlı yazılım deposuyla iletişim kurmaya başlar."
"Ayrıca, Küba fidye yazılımı aktörleri kimlik bilgilerini çalmak için MimiKatz kötü amaçlı yazılımını kullanıyor ve ardından güvenliği ihlal edilmiş ağ ana bilgisayarında belirli bir kullanıcı hesabıyla oturum açmak için RDP'yi kullanıyor. Bir RDP bağlantısı tamamlandığında, Küba fidye yazılımı aktörleri, güvenliği ihlal edilmiş kişilerle iletişim kurmak için CobaltStrike sunucusunu kullanıyor. Kullanıcı hesabı.İlk PowerShell komut dosyası işlevlerinden biri, base64 ile kodlanmış bir yükü çalıştırmak için bellek alanı ayırır.Bu yük belleğe yüklendikten sonra, uzak komut ve kontrol (C2) sunucusuna ulaşmak ve ardından sunucuyu dağıtmak için kullanılabilir. fidye yazılımı için dosyaların sonraki aşaması. Uzak C2 sunucusu, kurvalarva.com kötü amaçlı URL'sinde bulunuyor."
FBI, diğer saldırı bilgilerinin yanı sıra örnek bir fidye notu ve saldırganların tipik olarak içerdiği e-postayı da içeriyordu.
Fidye yazılımı uzmanları, grubun diğer daha önde gelen fidye yazılımı gruplarına göre faaliyet düzeylerini göz önünde bulundurarak kazandığı para miktarına biraz şaşırdı.
Emsisoft tehdit analisti Brett Callow, raporun fidye yazılımı endüstrisinin Küba fidye yazılımı grubunun etkinlik açısından ilk on listesinde olmadığını düşündüğünü ne kadar karlı gördüğünü gösterdiğini söyledi.
Verileri, Conti fidye yazılımı grubu için 653'e kıyasla bu yıl 105 Küba fidye yazılımı gönderimi gösteriyor.
Callow, ZDNet'e verdiği demeçte, "Bu, fidye yazılımlarından ne kadar para kazanılacağını gerçekten gösteriyor. Küba nispeten küçük bir oyuncu ve eğer 49 milyon dolar kazanırlarsa, diğer takımlar çok daha fazlasını kazanmış olacak" dedi. "Ve elbette, fidye yazılımlarının başa çıkması bu kadar zor bir sorun olmasının nedeni de budur. Büyük ödüller, insanların riskleri dikkate almaya değer olduğu anlamına gelir."
Ocak ayından bu yana grup, bir sızıntı sitesi işletiyor ve kurbanlar ödeme yapmazsa çalınan verileri serbest bırakmakla tehdit eden birçok fidye yazılımı grubundan biri haline geldi.
McAfee Gelişmiş Tehdit Araştırma Ekibi, Nisan ayında grup hakkında ayrıntılı bir rapor yayınladı ve FBI'ın analizlerinde bulduğu birçok şeye dikkat çekti. McAfee araştırmacıları ayrıca, grubun yıllardır var olmasına rağmen, sızdırma sitesiyle kurbanları gasp etmeye yeni başladığını da keşfetti.
Grup tipik olarak ABD, Güney Amerika ve Avrupa'daki şirketleri hedefler. McAfee, grubun bazı durumlarda çalınan verileri sattığını söyledi.
McAfee, "Küba fidye yazılımı, son birkaç yıldır aktif olan daha eski bir fidye yazılımıdır. Arkasındaki aktörler, etkisini ve gelirini artırmak için, son zamanlarda diğer büyük fidye yazılımı kampanyalarında gördüğümüz gibi, çalınan verileri sızdırmaya başladı." raporu açıkladı.
"Analizimizde, saldırganların enfeksiyondan önce ağa erişimi olduğunu ve saldırıyı düzenlemek ve en büyük etkiye sahip olmak için belirli bilgileri toplayabildiklerini gözlemledik. Saldırganlar, kendilerine izin veren bir dizi PowerShell betiği kullanarak çalışırlar. Fidye notu, verilerin şifrelenmeden önce sızdırıldığından bahsediyor."
Grup, Şubat ayında ödeme işlemcisi Otomatik Fon Transfer Hizmetlerine saldırdıklarında dalgalar yarattı ve birden fazla ABD eyaletini ihlal bildirim mektupları göndermeye zorladı. İlk olarak Bleeping Computer tarafından bildirilen saldırı, "finansal belgeler, banka çalışanları ile yazışmalar, hesap hareketleri, bilançolar ve vergi belgelerinin" çalınmasını içeriyordu. Olay ayrıca şirketin hizmetlerinde haftalarca önemli hasara neden oldu.
Bleeping Computer'a göre, şirketi insanların adlarına, adreslerine, telefon numaralarına, plaka numaralarına, VIN numaralarına, kredi kartı bilgilerine, kağıt çeklere ve diğer fatura bilgilerine erişim sağlayan çeşitli hizmetler için kullandıkları için birden fazla eyalet endişeliydi. Kaliforniya eyaleti ve Washington eyaletindeki birçok şehir etkilendi ve ihlal bildirim mektupları gönderildi.
Recorded Future ile fidye yazılımı uzmanı Allan Liska, FBI raporunun fidye yazılımı ortamındaki gözlemlenebilirlik sorununu da gösterdiğini söyledi.
Liska, "Küba gasp sitesinde yayınlanan 28 kurban vardı, ancak FBI en az 49 kurbanı biliyordu. Kurbanlarının sadece 1/2'sini biliyorduk" dedi.
"Az sayıda kurbana rağmen, FBI'ın en az 43,9 milyon dolar kazandıklarını iddia etmesi, fidye yazılımlarının bu tehdit aktörleri için son derece karlı olmaya devam ettiğini gösteriyor. Hedefleri orta ölçekli kuruluşlar olma eğilimindeydi ve dünyaya yayılmıştı. Sanırım orada gösteriyor. bilmediğimiz çok şey var."