С начала своей вредоносной кампании группировка потребовала от своих жертв в общей сложности $74 млн и получила более $40 млн.
https://www.securitylab.ru/upload/ib...595c0f16f2.jpg
ФБР США сообщило , что в ноябре 2021 года вымогательское ПО Cuba скомпрометировало сети как минимум 49 организаций критической инфраструктуры в США, в том числе в финансовом и государственном секторе, а также в сфере здравоохранения, производства и IT.
С начала своей вредоносной кампании на территории США группировка потребовала от своих жертв в общей сложности $74 млн и получила более $40 млн.
Вымогательское ПО Cuba попадает в атакуемые сети с помощью загрузчика Hancitor, который облегчает злоумышленникам доступ к заранее взломанным сетям. Хакеры используют Hancitor (Chancitor) для доставки инфостилеров, троянов для удаленного доступа (RAT) и различных вымогательских программ.
В частности, специалисты Zscaler зафиксировали использование загрузчика для распространения трояна Vawtrak для похищения данных. Однако с тех пор он переключился на ПО для похищения паролей, включая Pony и Ficker, а совсем недавно – Cobalt Strike.
Для первоначального взлома хакеры Hancitor используют фишинговые электронные письма и похищенные учетные данные, эксплуатируют уязвимости в Microsoft Exchange или применяют инструменты для удаленного доступа к рабочему столу (Remote Desktop Protocol, RDP).
Пользуясь предоставленным Hancitor доступом, с помощью служб Windows (PowerShell, PsExec и пр.) операторы Cuba удаленно развертывают в атакуемой сети полезную нагрузку вымогателя и шифруют файлы, добавляя расширение .cuba.
В уведомлении, выпущенном совместно с Агентством кибербезопасности и безопасности инфраструктуры (Cybersecurity and Infrastructure Security Agency, CISA), ФБР попросило системных администраторов и ИБ-экспертов, обнаруживших активность Cuba в своих сетях, предоставить любую связанную в вредоносном информацию местному киберподразделению ФБР.