Контакты
Подписка 2024
Персональные данные
4 апреля. Персональные данные в 2024 году: регулирование, практика, тенденции
Регистрируйтесь на онлайн-конференцию!

За месяц вымогатели Cuba взломали полсотни организаций критической инфраструктуры в США

07/12/21

hack17-Dec-07-2021-08-41-17-61-AMФБР США сообщило , что в ноябре 2021 года вымогательское ПО Cuba скомпрометировало сети как минимум 49 организаций критической инфраструктуры в США, в том числе в финансовом и государственном секторе, а также в сфере здравоохранения, производства и IT.

С начала своей вредоносной кампании на территории США группировка потребовала от своих жертв в общей сложности $74 млн и получила более $40 млн.

Вымогательское ПО Cuba попадает в атакуемые сети с помощью загрузчика Hancitor, который облегчает злоумышленникам доступ к заранее взломанным сетям. Хакеры используют Hancitor (Chancitor) для доставки инфостилеров, троянов для удаленного доступа (RAT) и различных вымогательских программ.

В частности, специалисты Zscaler зафиксировали использование загрузчика для распространения трояна Vawtrak для похищения данных. Однако с тех пор он переключился на ПО для похищения паролей, включая Pony и Ficker, а совсем недавно – Cobalt Strike.

Для первоначального взлома хакеры Hancitor используют фишинговые электронные письма и похищенные учетные данные, эксплуатируют уязвимости в Microsoft Exchange или применяют инструменты для удаленного доступа к рабочему столу (Remote Desktop Protocol, RDP).

Пользуясь предоставленным Hancitor доступом, с помощью служб Windows (PowerShell, PsExec и пр.) операторы Cuba удаленно развертывают в атакуемой сети полезную нагрузку вымогателя и шифруют файлы, добавляя расширение .cuba.

В уведомлении, выпущенном совместно с Агентством кибербезопасности и безопасности инфраструктуры (Cybersecurity and Infrastructure Security Agency, CISA), ФБР попросило системных администраторов и ИБ-экспертов, обнаруживших активность Cuba в своих сетях, предоставить любую связанную в вредоносном информацию местному киберподразделению ФБР.

Темы:СШАсубъекты КИИПреступленияФБРВымогатели
NGFW
9 апреля. Отечественные NGFW: как защитить облачную инфраструктуру и настроить обнаружение кибератак
Участвуйте и представляйте решения!

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...