圖片來源: 

CISA

美國聯邦調查局(FBI)與網路安全及基礎設施安全局(CISA)上周針對勒索軟體Cuba發布安全警報,指出迄今Cuba勒索軟體駭客已危害全球超過100個組織,向它們勒索逾1.45億美元,且實際收到了超過6,000萬美元的贖金,公布了Cuba勒索軟體的最新攻擊戰術流程(TTP)。

Cuba是個以C++撰寫的Windows惡意程式,去年就曾被FBI點名,當時駭客利用Microsoft Exchange的安全漏洞,大舉進攻重大基礎設施,有49個組織受害,勒索金額超過7,400萬美元,而今受害組織則擴大到超過100個,勒索金額亦呈倍數。

Cuba勒索軟體用來進入組織的手法包括利用商業軟體的已知漏洞、網釣攻擊、外洩憑證,或者是合法的遠端桌面協定(RDP)工具,成功入侵組織後即開始藉由加載器Hancitor來散布Cuba。

遭到Cuba利用的安全漏洞包括涉及Windows通用紀錄檔系統(Common Log File System,CLFS)驅動程式的CVE-2022-24521,以及微軟在2020年執行多階段修補的Windows Netlogon漏洞CVE-2020-1472。此外,駭客於組織內進行橫向移動時,也會利用各種工具來躲避偵測,包括終止安全產品。

雖然名為Cuba,但它其實與古巴沒有關係,而是與RomCom RAT及Industrial Spy勒索軟體有關,資安社群發現Cuba駭客會使用客製化的RomCom作為命令暨控制工具,有時也會部署Industrial Spy而非Cuba,而且原本Cuba駭客都在自家網站銷售所盜來的資料,但今年5月開始透過Industrial Spy的線上市集出售資料。

FBI與CISA公布了Cuba勒索軟體截至今年8月的最新入侵指標(Indicators of Compromise,IOC)供外界參考。文⊙陳曉莉

 

在12月1日,CISA網站上發布針對Cuba勒索軟體的安全警報

在此之前,上一次CISA針對勒索軟體示警,是在今年11月17日,是針對HIVE勒索軟體而來,當中指出該勒索軟體攻擊者已造成全球1,300多家公司受害,CISA在調查最新事件中,解析了該駭客組織在2022年所使用的TTPs,讓各組織能了解其手法,並給予防範與緩解攻擊的建議,並公布最新IOC供外界參考。文⊙iThome電腦報資安主編羅正漢

 

 

熱門新聞

Advertisement