您所在的位置: 首頁(yè) >
新聞資訊 >
威脅情報(bào) >
勒索軟件團(tuán)伙攻擊了100多個(gè)組織,獲利超過(guò)6000萬(wàn)美元
CISA和FBI稱(chēng)勒索軟件的攻擊在增加
根據(jù)最近的一份聯(lián)合網(wǎng)絡(luò)安全咨詢(xún)(CSA)#StopRansomware,來(lái)自CISA和FBI的警告說(shuō),Cube勒索軟件團(tuán)伙已經(jīng)攻擊了全球100多個(gè)組織,并已經(jīng)收到了超過(guò)6000萬(wàn)美元的贖金。最新的CSA警告說(shuō),被Cube勒索軟件團(tuán)伙攻擊的安全事件和企業(yè)網(wǎng)絡(luò)安全咨詢(xún)的數(shù)量激增。
根據(jù)警告,Cube勒索軟件攻擊的目標(biāo)是醫(yī)療保健、關(guān)鍵基礎(chǔ)設(shè)施、金融服務(wù)、政府服務(wù)等機(jī)構(gòu)。CSA說(shuō),盡管該團(tuán)伙使用了這個(gè)名字,其實(shí)該團(tuán)伙與古巴這個(gè)國(guó)家沒(méi)有任何關(guān)聯(lián)。聯(lián)邦調(diào)查局警告說(shuō),該勒索軟件團(tuán)伙已經(jīng)攻擊了全球100多個(gè)目標(biāo),并要求支付超過(guò)1.45億美元的贖金,現(xiàn)在已經(jīng)得到了6000萬(wàn)美元的勒索款項(xiàng)。
聯(lián)邦調(diào)查局和CISA的最新發(fā)現(xiàn)
聯(lián)邦調(diào)查局已經(jīng)發(fā)現(xiàn),Cube勒索軟件行為者所攻擊的美國(guó)實(shí)體的數(shù)量和所要求的贖金數(shù)額都在急劇增加。
自2022年春季以來(lái),Cube勒索軟件攻擊者擴(kuò)大了他們的TTPs。
第三方組織和開(kāi)源報(bào)告已經(jīng)確定Cube勒索軟件攻擊者、RomCom遠(yuǎn)程訪問(wèn)木馬(RAT)行為者和工業(yè)間諜勒索軟件攻擊者之間可能存在聯(lián)系。
該組織習(xí)慣使用雙重勒索攻擊,他們不僅會(huì)加密數(shù)據(jù)而且還要求支付贖金,并且還威脅說(shuō)如果目標(biāo)不支付贖金(要求以比特幣支付),就會(huì)泄露從被害者那里偷來(lái)的數(shù)據(jù)。
攻擊者使用最新的勒索軟件技術(shù)這是CISA和FBI對(duì)Cube勒索軟件的第二次警告,第一次是在2021年12月。最近發(fā)警告的原因是因?yàn)榫W(wǎng)絡(luò)攻擊的數(shù)量突然增加,也因?yàn)楣粽咴黾恿斯舻膹?fù)雜性,使其無(wú)法被發(fā)現(xiàn)和難以阻止。
這些技術(shù)包括濫用Windows通用日志文件系統(tǒng)(CLFS)驅(qū)動(dòng)程序(CVE-2022-24521)中的一個(gè)漏洞,該漏洞允許攻擊者檢索系統(tǒng)令牌以及啟用權(quán)限,同時(shí)部署PowerShell腳本,找出服務(wù)賬戶(hù),以便更好地訪問(wèn)高級(jí)系統(tǒng)控制。
攻擊背后的Cube勒索軟件
安全研究員發(fā)現(xiàn)Cube勒索軟件也會(huì)攻擊Zerologon,這是微軟Windows認(rèn)證協(xié)議Netlogon(CVE-2020-1472)的一個(gè)漏洞,利用該漏洞可以獲得域管理權(quán)限。Zerologon是在2020年9月被發(fā)現(xiàn)的,當(dāng)時(shí)被認(rèn)為是有 ”極大的風(fēng)險(xiǎn)”,然而,兩年后,威脅者仍然能夠?yàn)E用它。
Cube勒索軟件用來(lái)獲得受害者系統(tǒng)訪問(wèn)權(quán)限的技術(shù)包括利用商業(yè)軟件的已知漏洞、網(wǎng)絡(luò)釣魚(yú)活動(dòng)、利用被盜的用戶(hù)數(shù)據(jù)和密碼,以及濫用遠(yuǎn)程桌面協(xié)議(RDP)應(yīng)用程序。
一旦攻擊者獲得了訪問(wèn)權(quán)限,他就會(huì)安裝Hancitor,這是一種惡意軟件的有效載荷,可以讓他輕松地重新獲得訪問(wèn)權(quán),并在被利用的網(wǎng)絡(luò)上發(fā)起攻擊,最后再用于投放和啟動(dòng)勒索軟件的有效載荷。
聯(lián)邦調(diào)查局和CISA鼓勵(lì)網(wǎng)絡(luò)防御者聯(lián)合CSA,并盡可能去應(yīng)用更多的緩解措施。
參考及來(lái)源:https://www.cysecurity.news/2022/12/fbi-cisa-alert-ransomware-gang-attacked.html
原文來(lái)源:嘶吼專(zhuān)業(yè)版