古巴勒索软件从 100 多个实体勒索了超过 6000 万美元的赎金

安全 数据安全
RomCom RAT通过合法软件的木马化版本传播,例如 SolarWinds Network Performance Monitor、KeePass、PDF Reader Pro、Advanced IP Scanner、pdfFiller 和 Veeam Backup & Replication,这些软件托管在伪造的相似网站上。

截至 2022 年 8 月,古巴(又名 COLDDRAW)勒索软件背后的威胁行为者已收到超过 6000 万美元的赎金,并危害了全球 100 多个实体。

在美国网络安全和基础设施安全局 (CISA) 和联邦调查局 (FBI) 共享的一份新咨询报告中,这些机构强调“受感染的美国实体数量和赎金金额都急剧增加”。

勒索软件团队,也称为Tropical Scorpius,已被观察到以金融服务、政府设施、医疗保健、关键制造和 IT 部门为目标,同时扩大其策略以获得初始访问权限并与被破坏的网络进行交互。

攻击的切入点涉及利用已知的安全漏洞、网络钓鱼、泄露的凭据和合法的远程桌面协议 (RDP) 工具,然后通过Hancitor(又名 Chanitor)分发勒索软件。

值得注意的是,尽管名为“古巴”,但没有证据表明演员与该岛国有任何联系或隶属关系。

古巴纳入其工具集中的一些缺陷如下 -

  • CVE-2022-24521(CVSS 分数:7.8)- Windows 通用日志文件系统 (CLFS) 驱动程序中的提权漏洞
  • CVE-2020-1472(CVSS 分数:10.0)- Netlogon 远程协议(又名 ZeroLogon)中的提权漏洞

“除了部署勒索软件外,攻击者还使用了‘双重勒索’技术,他们窃取受害者数据,(1) 要求支付赎金以解密数据,(2) 威胁如果支付赎金则公开发布数据没有制造,”CISA 指出。

根据 BlackBerry 和 Palo Alto Networks Unit 42 最近的调查结果,据说古巴还与 RomCom RAT 和另一个名为 Industrial Spy 的勒索软件家族的运营商共享链接。

RomCom RAT通过合法软件的木马化版本传播,例如 SolarWinds Network Performance Monitor、KeePass、PDF Reader Pro、Advanced IP Scanner、pdfFiller 和 Veeam Backup & Replication,这些软件托管在伪造的相似网站上。

来自 CISA 和 FBI 的通报是这两个机构针对不同勒索软件(例如MedusaLocker、Zeppelin、Vice Society、 Daixin Team和Hive )发布的一系列警报中的最新一例。

责任编辑:武晓燕 来源: 河南等级保护测评
相关推荐

2022-12-14 15:49:31

2021-12-04 15:00:46

勒索软件攻击数据泄露

2021-12-09 11:48:17

勒索软件恶意软件安全

2021-02-20 10:24:58

勒索软件攻击赎金

2021-07-06 18:16:02

勒索软件Kaseya攻击

2023-12-12 11:50:14

2021-02-22 09:36:47

勒索软件攻击数据泄露

2021-05-26 10:36:12

勒索软件攻击赎金

2020-05-22 09:40:51

勒索软件黑客暗网

2024-01-31 07:35:38

2021-02-14 09:59:55

黑客网络安全勒索

2021-01-28 11:28:15

勒索软件攻击赎金

2021-05-04 21:22:35

勒索软件数据恢复网络攻击

2023-06-16 15:56:02

2020-08-05 14:31:29

勒索软件网络攻击黑客

2024-09-03 14:32:29

2021-03-02 11:14:19

勒索赎金数据泄露加密货币

2023-11-15 16:48:32

2020-09-09 09:14:08

勒索软件网络攻击网络安全

2012-02-07 15:35:31

黑客赛门铁克
点赞
收藏

51CTO技术栈公众号