Geng Ransomware Kuba Menghabiskan $44M dalam Pembayaran

Geng ransomware “Kuba” telah memasuki alur, mengorbankan setidaknya 49 entitas di lima sektor penting di AS pada November, FBI telah memperingatkan. keuangan, pemerintah, kesehatan, manufaktur dan sektor teknologi informasi ke grup. Secara kolektif, hit tersebut menghasilkan pemerasan sebesar $44 juta dalam pembayaran uang tebusan. Itu sedikit lebih dari setengah dari $74 juta yang sebenarnya diminta oleh geng Kuba di seluruh serangan, menunjukkan bahwa perusahaan tetap terpecah apakah akan membayar atau tidak. grup ini menargetkan kasino suku di seluruh US

Kami ingin tahu apa masalah dan tantangan keamanan cloud terbesar Anda, dan bagaimana perusahaan Anda menanganinya. Timbang dengan Poll Threatpost anonim eksklusif kami!

FBI mencatat bahwa ransomware Kuba didistribusikan menggunakan implan tahap pertama yang bertindak sebagai pemuat untuk muatan selanjutnya: malware Hancitor, yang telah ada setidaknya selama lima tahun. Operator Hancitor mendapatkan akses awal ke mesin target menggunakan email phishing, eksploitasi kerentanan Microsoft Exchange, kredensial yang disusupi, atau alat Remote Desktop Protocol (RDP) yang sah, menurut peringatan FBI.

Setelah Hancitor diterapkan, pelaku ransomware Kuba juga menggunakan layanan Windows yang sah – seperti PowerShell, PsExec dan Cobalt Strike, alat pengujian pena yang sah yang telah diubah oleh penjahat dunia maya secara massal untuk membantu gerakan lateral. Alat ini menggunakan beacon untuk secara efektif mengidentifikasi kerentanan yang dapat dieksploitasi di dalam lingkungan target.

“Suar Cobalt Strike [dipasang] sebagai layanan di jaringan korban melalui PowerShell,” menurut analisis FBI. “Setelah diinstal, ransomware mengunduh dua file yang dapat dieksekusi, termasuk ‘pones.exe’ untuk akuisisi kata sandi dan ‘krots.exe,’ juga dikenal sebagai KPOT, memungkinkan pelaku ransomware Kuba untuk menulis ke file sementara (TMP) sistem yang disusupi. ”

Setelah file TMP diunggah, KPOT dihapus dan file TMP dijalankan di jaringan yang disusupi – trik yang dimaksudkan untuk menutupi jejak ransomware.

“File TMP menyertakan panggilan API terkait dengan injeksi memori yang, setelah dieksekusi, menghapus dirinya sendiri dari sistem,” bunyi peringatan itu. “Setelah penghapusan file TMP, jaringan yang disusupi mulai berkomunikasi dengan repositori malware yang dilaporkan terletak di domain berbasis Montenegro, teoresp.com.”

Penjahat Kuba juga menggunakan malware MimiKatz untuk mencuri kredensial dari korban, dan kemudian menggunakan protokol desktop jarak jauh ( RDP) untuk masuk ke host jaringan yang disusupi dengan akun pengguna tertentu, kata FBI.

“Setelah koneksi RDP selesai, pelaku ransomware Kuba menggunakan server Cobalt Strike untuk berkomunikasi dengan akun pengguna yang disusupi,” menurut analisis . “Salah satu fungsi skrip PowerShell awal mengalokasikan ruang memori untuk menjalankan muatan yang disandikan base64. Setelah muatan ini dimuat ke dalam memori, itu dapat digunakan untuk mencapai server perintah-dan-kontrol (C2) jarak jauh [kurvalarva[dot]com], dan kemudian menyebarkan file tahap berikutnya untuk ransomware.” File

Target dienkripsi dengan ekstensi “.cuba”, memberikan nama ransomware kepada ransomware.

Analisis ini muncul setelah peringatan bersama FBI/CISA agar organisasi ekstra waspada selama musim liburan, ketika banyak kantor tutup selama berhari-hari dan staf TI mungkin memiliki mengalihkan pandangan mereka dari bola.

“Meskipun CISA maupun FBI saat ini tidak mengidentifikasi ancaman spesifik apa pun, tren 2021 baru-baru ini menunjukkan pelaku cyber jahat meluncurkan serangan ransomware yang serius dan berdampak selama liburan dan akhir pekan, termasuk akhir pekan Hari Kemerdekaan dan Hari Ibu,” menurut warning.

“Ancaman ransomware terus berkembang,” kata Mieng Lim, wakil presiden manajemen produk di Digital Defense by HelpSystems, melalui email. “Dari komoditisasi ransomware melalui ketersediaan alat sebagai layanan baru-baru ini, hingga strategi serangan yang semakin canggih, ini adalah lanskap ancaman yang menuntut pemantauan dan pendidikan terus-menerus dari organisasi dan pemerintah.”

Organization dapat mengambil langkah-langkah untuk melindungi diri mereka sendiri dengan menerapkan praktik terbaik yang terkenal, seperti pelatihan kesadaran pengguna tentang mengenali email phishing, patch tepat waktu, solusi keamanan email, pengujian penetrasi reguler dan pemindaian kerentanan, pemisahan jaringan, enkripsi data, pencadangan jarak jauh, dan memiliki pedoman respons insiden yang kuat dan teruji , Lim menambahkan.

“Sayangnya, kita hidup di era di mana mencegah 100 persen risiko dunia maya tidak mungkin lagi, tetapi kewaspadaan terus-menerus, pendidikan ancaman dunia maya yang berkelanjutan, dan strategi deteksi dan respons ancaman yang direncanakan dengan baik akan berlangsung lama. cara untuk menjaga keamanan data paling sensitif organisasi Anda,” kata Lim.

Ada lautan data tidak terstruktur di internet yang berkaitan dengan ancaman keamanan terbaru. DAFTAR HARI INI untuk mempelajari konsep kunci pemrosesan bahasa alami (NLP) dan cara menggunakannya untuk menavigasi lautan data dan menambahkan konteks ke ancaman keamanan siber (tanpa menjadi ahli!). Balai Kota Threatpost interaktif LANGSUNG ini, disponsori oleh Rapid 7, akan menampilkan peneliti keamanan Erick Galinkin dari Rapid7 dan Izzy Lazerson dari IntSights (perusahaan Rapid7), ditambah jurnalis Threatpost dan pembawa acara webinar, Becky Bracken.

Daftar SEKARANG untuk acara LANGSUNG!
Write a comment
Bagikan artikel ini:

  • Malwareliu

    <

    ul>iKerentananliu

      iKeamanan Web
  • Wagiman Wiryosukiro

    Petani Sistem Informasi, tukang las plugin & themes Wordpress. Co-Founder SistemInformasi.biz. Saat ini aktif sebagai Developer & kontributor di OpenMandriva Linux.

    You may also like...

    %d bloggers like this: