据The Record 报道,美国联邦调查局(FBI)周五表示,古巴勒索软件的操作者在今年进行的攻击中至少赚取了4390万美元的赎金。FBI在周五发出的紧急警报中说,古巴团伙已经“损害了五个关键基础设施部门的至少49个实体,包括但不限于金融、政府、医疗保健、制造业和信息技术部门”。
FBI表示,它追踪了古巴勒索软件的攻击,发现系统感染了Hancitor,这是一种恶意软件操作,利用钓鱼邮件、微软Exchange漏洞、受损的凭证或RDP爆破工具来获得对脆弱的Windows系统的访问。
一旦系统被添加到他们的僵尸网络中,Hancitor运营商就会以典型的恶意软件即服务(MaaS)的模式向其他犯罪团伙出租这些系统的访问权。
虽然2021年4月McAfee关于古巴勒索软件的报告(PDF)发现这两个团伙之间没有任何联系,但FBI的报告强调,在整个2020年其他勒索软件行动达成类似的伙伴关系之后,MaaS供应商和勒索软件团伙之间似乎形成了新的伙伴关系。
周五早些时候发布的FBI文件(PDF)强调了一个典型的Hancitor-to-Cuba感染是如何发生的,并提供了公司可以用来加强防御的入侵指标。
FBI还提到,古巴勒索软件团伙也是在加密文件之前从受感染公司收集和窃取敏感文件的勒索软件组织之一。。如果公司不付钱,这些团队会威胁将敏感文件公布在他们自今年1月以来一直在暗网上运营的网站上。
根据Recorded Future分析师汇编的数据,今年到目前为止,至少有28家公司在拒绝付款后被列入这个网站。
FBI表示,4390万美元的数字代表了受害者的实际付款,该组织要求受害者支付超过7400万美元,其中一些受害者拒绝付款。这个数字属于迄今为止报告的大多数勒索软件收入的通常范围:
- Darkside:2020年10月至2021年5月期间为9000万美元;
- Maze/Egregor:7500万美元;
- Ryuk:1.5亿美元;
- REvil:2020年为1.23亿美元;
- Netwalker:2020年3月至7月期间为2500万美元;
- Conti:2021年7月至11月之间的2550万美元。