FBI 及CISA: 古巴勒索軟體集團入侵了全球至少100個組織,贖金獲利超過6千萬美元

根據美國FBI及CISA的最新聯合警報(Alert AA 22-335A),截至2022年8月,古巴勒索軟體(Cuba Ransomware)在全球入侵了100多個組織(當中美國佔至少65個實體,其餘36個為其他國家,包含台灣一家受害上市半導體)後,索要超過1.45億美元的贖金,成功取得至少6千萬美元的贖金。報告指出,受古巴攻擊的美國實體的數量成長接近一倍,持續針對五個關鍵性基礎設施進行攻擊,當中包括金融業、政府部門、醫療保健產業、關鍵性製造業及IT產業。

在此次警報中,CISA 及FBI透露Cuba勒索軟體攻擊者與 RomCom Remote Access Trojan 和 Industrial Spy 勒索軟體等其他惡意工具的幕後黑手有關聯,並進一步指出自今年年初以擴充其新的戰術、技術與流程(TTPs) 來部署惡意軟體,據悉Cuba多數以寄生攻擊(Living Off-The-Land) 手法進行攻擊,依靠已知漏洞、網路釣魚活動、遠端桌面連線軟體和被盜憑證的組合來存取受害系統並部署惡意軟體。然而,這兩個機構引用 Palo Alto Networks 的研究稱,自 2022 年 5 月以來,觀察到攻擊手法起了些變化,包括使用 ROMCOM RAT 惡意軟體、ZeroLogon 漏洞、本地權限提升漏洞利用和專門針對安全產品kernel driver的工具。

發現 Cuba 勒索軟體攻擊者擅長利用的漏洞,包括CVE-2022-24521一個影響 Windows 通用日誌檔案系統驅動程式的漏洞 – 以及CVE-2020-1472,是2020 年最常被利用的漏洞之一。

另外,此次警報大部分包括 FBI 在 2021 年 12 月發布Flash Alert CU-000156-MW的資訊,包括Cuba通過 Hancitor分發勒索軟體的事實——Hancitor 是一種以向受害者網路投放或執行竊取程式而聞名的載入程式,如遠端訪問木馬 (RAT) 和其他類型的勒索軟體。在目標網內的受感染設備上站穩腳跟後,Cuba 勒索軟體威脅行為者使用合法的 Windows 服務(例如,PowerShell、PsExec 和各種其他未指定的服務)遠端部署有效負載並使用包含“.cuba” 副檔名的加密檔案。

在今天的聯合警報中,FBI 敦促曾在其企業或組織網路中檢測到Cuba 勒索軟體活動的人士,向其提供相關資料。

有助於識別勒索軟體組織成員和與他們合作的網路犯罪分子的有用資料包括:

*顯示與外國 IP address之間的通訊的boundary logs

*勒索信樣本

*與勒索軟體參與者的通訊

*比特幣錢包資料

*解密檔案和或加密檔案的良性樣本

警報中提供有關古巴勒索軟體的入侵指標(Indicator of compromise -IOCs):

 “轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

傳出上市半導體企業遭勒索軟體攻擊,這次的罪魁禍首是它-Cuba Ransomware!首見勒索軟體古巴入侵台灣!

據觀察,竣盟科技於6月14日在勒索軟體古巴(Cuba)的Tor揭秘網站上,發現該勒索軟體集團宣稱加密了總部在新竹科學園區的某無晶圓業IC設計業者,該業者長期耕耘利基型DRAM記憶體和系統晶片等產品之開發設計、銷售與技術服務,是全球純IC設計企業Fabless 50強之一。

操作勒索軟體古巴的駭客稱已在6月1日竊取該半導體公司的原始程式碼,財務文件、與銀行員工通信、帳戶移動活動、資產負債表、稅務檔、薪酬等資料,但尚未透露數據量、或贖金價格。不過這項消息尚未獲得業者的證實,目前該公司亦沒有在公開資訊觀測站針對這次駭客的發布重大訊息。

Cuba 勒索軟體於2020 年 2 月首次被發現,主要是透過Hancitor惡意程式散布,利用釣魚郵件、微軟Exchange漏洞、盜來的憑證或RDP工具來獲得對脆弱的Windows系統的存取,成功入侵之後再部署後門程式,最後才執行Cuba勒索軟體。去年 12 月美國聯邦調查局 (FBI)警告說,勒索軟體古巴成功入侵了美國五個重大基礎設施(包括金融、政府、醫療保健、製造業和資訊科技部門)的49個實體,至少賺取了4390萬美元的贖金。雖然攻擊的數量相較其他勒索軟體少,但其選擇性的攻擊,往往只針對大型企業或組織,顯示了其瞄準性攻擊的策略。

根據TrendMicro的研究報告,今年4 月下旬,觀察到勒索軟體古巴的新變種,一個新二進制檔案包括一些少量的功能添加和更改,表明古巴仍然積極開發並優化其加密工具。目前古巴可在加密前,終止更多進程包括Outlook、MS Exchange 和 MySQL等,以防止這些應用程式防礙其加密的執行。其次,古巴已擴充其exclusion list,排除加密以下安全清單目錄和副檔名的檔案:

Photo Credit : Trend Micro

古巴的變種是否意味著該勒索軟體集團將接下來對企業發動更多的攻勢,值得我們繼續關注,此次之前,我國企業沒曾傳出遭古巴勒索攻擊的資安事件。

有關勒索軟體古巴的部分入侵指標(Indicator of compromise -IOCs):

SHA 256

89288de628b402621007c7ebb289233e7568307fb12a33aac7e834504c17b4af

b14341b1ffe9e2730394b9066c6829b4e2f59a4234765ae2e97cfc6d4593730a

79d6b1b6b1ecb446b0f49772bf4da63fcec6f6bfc7c2e1f4924cb7acbb3b4f53

 “轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”