截至 2022 年 8 月,古巴(又名 COLDDRAW)勒索软件背后的威胁行为者已收到超过 6000 万美元的赎金,并危害了全球 100 多个实体。
在美国网络安全和基础设施安全局 (CISA) 和联邦调查局 (FBI) 共享的一份新咨询报告中,这些机构强调“受感染的美国实体数量和赎金金额都急剧增加”。
勒索软件团队,也称为Tropical Scorpius,已被观察到以金融服务、政府设施、医疗保健、关键制造和 IT 部门为目标,同时扩大其策略以获得初始访问权限并与被破坏的网络进行交互。
攻击的切入点涉及利用已知的安全漏洞、网络钓鱼、泄露的凭据和合法的远程桌面协议 (RDP) 工具,然后通过Hancitor(又名 Chanitor)分发勒索软件。
值得注意的是,尽管名为“古巴”,但没有证据表明演员与该岛国有任何联系或隶属关系。
古巴纳入其工具集中的一些缺陷如下 -
- CVE-2022-24521(CVSS 分数:7.8)- Windows 通用日志文件系统 (CLFS) 驱动程序中的提权漏洞
- CVE-2020-1472(CVSS 分数:10.0)- Netlogon 远程协议(又名 ZeroLogon)中的提权漏洞
“除了部署勒索软件外,攻击者还使用了‘双重勒索’技术,他们窃取受害者数据,(1) 要求支付赎金以解密数据,(2) 威胁如果支付赎金则公开发布数据没有制造,”CISA 指出。
根据 BlackBerry 和 Palo Alto Networks Unit 42 最近的调查结果,据说古巴还与 RomCom RAT 和另一个名为 Industrial Spy 的勒索软件家族的运营商共享链接。
RomCom RAT通过合法软件的木马化版本传播,例如 SolarWinds Network Performance Monitor、KeePass、PDF Reader Pro、Advanced IP Scanner、pdfFiller 和 Veeam Backup & Replication,这些软件托管在伪造的相似网站上。
来自 CISA 和 FBI 的通报是这两个机构针对不同勒索软件(例如MedusaLocker、Zeppelin、Vice Society、 Daixin Team和Hive )发布的一系列警报中的最新一例。