美国联邦调查局(FBI)与网络安全及基础设施安全局(CISA)上周针对勒索软件Cuba发布安全警报,指出迄今Cuba勒索软件黑客已危害全球超过100个组织,向它们勒索超过1.45亿美元,且实际收到了超过6,000万美元的赎金,公布了Cuba勒索软件的最新攻击战术流程(TTP)。
Cuba是个以C++撰写的Windows恶意程序,去年就曾被FBI点名,当时黑客利用Microsoft Exchange的安全漏洞,大举进攻重大基础设施,有49个组织受害,勒索金额超过7,400万美元,而今受害组织则扩大到超过100个,勒索金额也呈倍数。
Cuba勒索软件用来进入组织的手法包括利用商业软件的已知漏洞、网络钓鱼攻击、外泄凭证,或者是合法的远程桌面协议(RDP)工具,成功入侵组织后即开始借由加载器Hancitor来传播Cuba。
遭到Cuba利用的安全漏洞包括涉及Windows通用记录文件系统(Common Log File System,CLFS)驱动程序的CVE-2022-24521,以及微软在2020年执行多阶段修补的Windows Netlogon漏洞CVE-2020-1472。此外,黑客于组织内进行横向移动时,也会利用各种工具来躲避侦测,包括终止安全产品。
虽然名为Cuba,但它其实与古巴没有关系,而是与RomCom RAT及Industrial Spy勒索软件有关,安全社群发现Cuba黑客会使用定制化的RomCom作为命令暨控制工具,有时也会部署Industrial Spy而非Cuba,而且原本Cuba黑客都在自家网站销售所盗来的资料,但今年5月开始通过Industrial Spy的线上市场出售资料。
FBI与CISA公布了Cuba勒索软件截至今年8月的最新入侵指标(Indicators of Compromise,IOC)供外界参考。
在12月1日,CISA网站上发布针对Cuba勒索软件的安全警报。
在此之前,上一次CISA针对勒索软件示警,是在今年11月17日,是针对HIVE勒索软件而来,其中指出该勒索软件攻击者已造成全球1,300多家公司受害,CISA在调查最新事件中,解析了该黑客组织在2022年所使用的TTPs,让各组织能了解其手法,并给予防范与缓解攻击的建议,并公布最新IOC供外界参考。