07/12/21
ФБР США сообщило , что в ноябре 2021 года вымогательское ПО Cuba скомпрометировало сети как минимум 49 организаций критической инфраструктуры в США, в том числе в финансовом и государственном секторе, а также в сфере здравоохранения, производства и IT.
С начала своей вредоносной кампании на территории США группировка потребовала от своих жертв в общей сложности $74 млн и получила более $40 млн.
Вымогательское ПО Cuba попадает в атакуемые сети с помощью загрузчика Hancitor, который облегчает злоумышленникам доступ к заранее взломанным сетям. Хакеры используют Hancitor (Chancitor) для доставки инфостилеров, троянов для удаленного доступа (RAT) и различных вымогательских программ.
В частности, специалисты Zscaler зафиксировали использование загрузчика для распространения трояна Vawtrak для похищения данных. Однако с тех пор он переключился на ПО для похищения паролей, включая Pony и Ficker, а совсем недавно – Cobalt Strike.
Для первоначального взлома хакеры Hancitor используют фишинговые электронные письма и похищенные учетные данные, эксплуатируют уязвимости в Microsoft Exchange или применяют инструменты для удаленного доступа к рабочему столу (Remote Desktop Protocol, RDP).
Пользуясь предоставленным Hancitor доступом, с помощью служб Windows (PowerShell, PsExec и пр.) операторы Cuba удаленно развертывают в атакуемой сети полезную нагрузку вымогателя и шифруют файлы, добавляя расширение .cuba.
В уведомлении, выпущенном совместно с Агентством кибербезопасности и безопасности инфраструктуры (Cybersecurity and Infrastructure Security Agency, CISA), ФБР попросило системных администраторов и ИБ-экспертов, обнаруживших активность Cuba в своих сетях, предоставить любую связанную в вредоносном информацию местному киберподразделению ФБР.
