FBI har släppt ett meddelande som beskriver Cuba ransomware, som utpressade lösen till ett värde av över 43 miljoner dollar från cirka 49 offer.
Rapporten listade hur ransomware fungerar, med början med en Hancitor malware för inträde i sårbara system och använder allmänt tillgängliga verktyg som CobaltStrike beacons och MimiKatz för att dumpa och köra sina ransomware-verktyg.
Modus Operandi of Cuba Ransomware
Cuba ransomware är ett av få gäng som går under säkerhetsradarn, eftersom det gör väldigt få träffar varje år vilket inte verkar påverka. Men vi hade fel! Enligt FBI:s senaste meddelandeKubagänget är en av de mest lukrativa ransomware-grupperna i sin bransch.
Eftersom de var detaljerade, Cuba ransomware-gruppen har tjänat över 43,9 miljoner dollar från cirka 49 offer hittills. Detta förvånade säkerhetsforskarna och företagen, eftersom deras antal Kuba ransomware offer var mycket mindre än vad FBI rapporterade. Kubagängets inkomster sjunker också i förhållande till summan de hade bett om – 74 miljoner dollar från offren.
De riktar sig ofta till medelstora företag, och i fem kritiska sektorer som finans-, regerings-, hälsovårds-, tillverknings- och informationstekniksektorer, säger FBI. Och den här operationen börjar med att använda Hancitor malware för den första åtkomsten.
De delar ut Hancitor – en skadlig programvara – genom nätfiskekampanjer, utnyttjande av Microsoft Exchange-sårbarheter, komprometterade autentiseringsuppgifter eller genom det legitima Remote Desktop Protocol (RDP). Väl in, pushar de stjälare och andra körbara skadliga program för ytterligare exploatering.
FBI noterade att Kubagänget använder legitima och offentliga verktyg som PowerShell, PsExec, CobaltStrike beacons, MimiKatz, etc för att få systemadministratörsprivilegier. De använder sedan API inom de komprometterade systemen för att ringa från en fjärrserver, som dumpar deras ransomware för att låsa systemet.
Alla infekterade filer i systemet kommer att ha en .cuba förlängning, för identifiering. Och de startade nyligen en läckagesida, liknande andra ransomware-grupper för att pressa offren att betala lösensumman.
