FBI と CISA は、新しい共同セキュリティ勧告で、キューバのランサムウェア ギャングが世界中で 100 人以上の被害者を侵害した後、2022 年 8 月の時点で身代金として 6,000 万ドル以上を集めたことを明らかにしました。
これは、1 年前に発行された別のアドバイザリのフォローアップです。このアドバイザリでは、サイバー犯罪グループが米国の重要なインフラストラクチャ セクターの数十の組織に侵入し、米国企業を標的にし始めて以来、4,000 万ドル以上を稼いでいると警告しました。
「2021 年 12 月に FBI フラッシュが公開されて以来、キューバ ランサムウェアに感染した米国企業の数は 2 倍になり、身代金の要求と支払いが増加しました」と 2 つの連邦機関は本日警告しました。
「FBI は、キューバのランサムウェア アクターが、金融サービス、政府施設、医療と公衆衛生、重要な製造業、情報技術の 5 つの重要なインフラストラクチャ セクターの米国企業を標的にし続けていることを確認しました。」
FBI の推定によると、キューバのランサムウェア脅威アクターは、8 月までに世界中の 100 を超えるエンティティに侵入し、1 億 4,500 万ドル以上を要求した後、少なくとも 6,000 万ドルの身代金を回収しました。
FBI と CISA は、ランサムウェア ギャングが年初から戦術、技術、手順 (TTP) を拡大し、 RomCom Remote Access Trojan (RAT) と Industrial Spy ランサムウェア ( 5 月に最初に報告された) に関連していると付け加えました。 .
アドバイザリは厳しい状況を描いていますが、分析のために ID-Ransomware プラットフォームに提出されたサンプルは、ギャングがあまり活動的ではないことを示しており、ランサムウェアの操作が多少不活発であっても、被害者に大きな影響を与える可能性があることを示しています。
.png)
マルウェア ダウンローダーの配信
キューバのランサムウェア ペイロードは、Hancitor を介して配信されており、オペレーターは以前に侵害された企業ネットワークに簡単にアクセスできます。
Hancitor (チャンシター) マルウェア ダウンローダは、感染したシステムに情報窃盗プログラム、リモート アクセス トロイの木馬 (RAT)、およびその他の種類のランサムウェアをドロップすることで知られています。
マルウェアは、フィッシング メール、盗まれた資格情報、Microsoft Exchange のエクスプロイト、またはリモート デスクトップ プロトコル (RDP) ツールを介して被害者のシステムに配信されています。
キューバ ランサムウェアの攻撃者は、標的のネットワーク内の感染したデバイスに足場を築いた後、正規の Windows サービス (PowerShell、PsExec、その他のさまざまな特定されていないサービスなど) を使用してペイロードをリモートで展開し、「.cuba」拡張子を使用してファイルを暗号化します。
本日の勧告で、FBI はネットワーク内でキューバのランサムウェア アクティビティを検出した人に、関連情報を地元の FBI サイバー スクワッドと共有するよう求めました。
ランサムウェア ギャングのメンバーと彼らが協力しているサイバー犯罪者を特定するのに役立つ有用な情報には、「外部 IP アドレスとの間の通信を示す境界ログ、身代金メモのサンプル、ランサムウェア アクターとの通信、ビットコイン ウォレット情報、復号化ファイル、および/または暗号化されたファイルの無害なサンプルです。」
FBI は、支払いがデータ漏洩や将来の攻撃を防ぐという保証がないため、ランサムウェアの支払いを奨励していませんが、被害者は地元の FBI 現地事務所にできるだけ早く攻撃を報告する必要があると付け加えました。
このランサムウェア操作の標的になるリスクがある組織は、既知の悪用された脆弱性に優先的にパッチを適用し、従業員とユーザーにフィッシング攻撃を発見して報告するようにトレーニングし、環境全体で多要素認証 (MFA) を実施することをお勧めします。
Comments