[[439568]]

聯邦調查局警告說，cuba勒索軟件團伙已經開始進行攻擊，截至11月，美國至少已經有五個關鍵部門49個實體受到了影響。

在一份緊急警報中，聯邦調查局發現該團伙已經對美國的金融、政府、醫療保健、制造業和信息技術領域的多個實體進行了一系列的網絡攻擊。總體而言，這些攻擊使攻擊者獲得了4400萬美元的勒索贖金。這比該團伙在整個攻擊中實際要求的7400萬美元的一半多一點，這表明并不是所有的公司都全額支付了贖金。

這里聯邦調查局并沒有提到具體的受害者，但在上個月該局還警告說，該團伙的攻擊目標是全美境內的賭場。

聯邦調查局指出，攻擊團伙使用的勒索軟件是通過在第一階段向系統植入木馬來進行傳播的，并且它還作為后續有效載荷的加載器進行使用，而且該軟件已經存在了至少五年了。根據聯邦調查局的警報，攻擊者通過釣魚郵件、微軟Exchange漏洞、泄露的憑證或合法的遠程桌面協議(RDP)工具來獲得對目標機器的初始訪問權限。

在軟件安裝成功后，勒索軟件的攻擊者還會使用大量合法的Windows服務進行攻擊，如PowerShell、PsExec和Cobalt Strike，這些都是網絡犯罪分子為實現橫向移動而大量使用的合法測試工具。該工具使用信標來有效識別目標環境中的可利用漏洞。

根據聯邦調查局的分析，Cobalt Strike信標通過PowerShell安裝在受害者的網絡上。一旦安裝成功后，勒索軟件就會下載兩個可執行文件，其中包括用于獲取密碼的pones.exe和krots.exe文件，這兩個文件也被稱為KPOT，這就使得勒索軟件攻擊者能夠對系統中的臨時(TMP)文件有寫入的權限。

一旦TMP文件上傳成功，KPOT就會被刪除，這一招是為了銷毀勒索軟件的攻擊痕跡。之后TMP文件就會在被攻擊的網絡中進行執行。

警報說："TMP文件使用了與內存注入有關的API調用，一旦執行成功，該文件將會從系統中刪除。在刪除TMP文件后，被攻擊的網絡就開始與位于黑山的域名teoresp.com進行通信。"

cuba攻擊者還使用了MimiKatz惡意軟件來竊取受害者的憑證，然后使用遠程桌面協議(RDP)以特定的用戶賬戶來登錄被入侵的網絡主機。

根據分析，一旦RDP連接成功，cuba勒索軟件的攻擊者就會使用Cobalt Strike服務器與被攻擊的用戶賬戶進行通信。最初的PowerShell攻擊腳本中就含有分配內存空間來運行一個base64編碼的有效載荷功能。一旦這個有效載荷被加載到內存中，它就可以用來執行遠程命令和控制(C2)服務器的命令，然后接著部署下一階段的攻擊文件。

所有被攻擊的文件都會以".cuba "為擴展名進行加密，這也是該勒索軟件的名稱。

聯邦調查局/國際安全局聯合警告各組織在假日期間要格外警惕。

根據該警告，雖然CISA和FBI目前都沒有確定任何具體的威脅，但最近2021年的趨勢顯示，惡意網絡攻擊者在節假日和周末，包括獨立日和母親節的周末，發起了嚴重的勒索軟件攻擊活動，造成了巨大的影響。

勒索軟件的攻擊策略在不斷演變。研究人員通過電子郵件說，從勒索軟件的商業化到最近的勒索服務工具的出現，再到越來越復雜的攻擊策略。為了防止攻擊，這里需要組織和政府進行不斷的監測和教育。

各個組織可以采取各種措施，通過實施各種安全方式來保護自己，如對員工進行釣魚郵件識別的培訓、及時打補丁、實施電子郵件安全解決方案、定期進行滲透測試和漏洞掃描、網絡隔離、數據加密、遠程備份，以及使用一個強大的、經過測試的事件響應制度。

不幸的是，我們生活在一個不可能100%預防網絡危機的時代，但保持一定的警惕性、持續進行網絡威脅教育以及計劃周密的威脅檢測和響應策略將大大有助于保持組織內部敏感數據的安全。

本文翻譯自：https://threatpost.com/cuba-ransomware-gang-44m-payouts/176790/如若轉載，請注明原文地址。