CISA和FBI稱勒索軟件的攻擊在增加

根據最近的一份聯合網絡安全咨詢(CSA)#StopRansomware，來自CISA和FBI的警告說，Cube勒索軟件團伙已經攻擊了全球100多個組織，并已經收到了超過6000萬美元的贖金。最新的CSA警告說，被Cube勒索軟件團伙攻擊的安全事件和企業(yè)網絡安全咨詢的數量激增。

根據警告，Cube勒索軟件攻擊的目標是醫(yī)療保健、關鍵基礎設施、金融服務、政府服務等機構。CSA說，盡管該團伙使用了這個名字，其實該團伙與古巴這個國家沒有任何關聯。聯邦調查局警告說，該勒索軟件團伙已經攻擊了全球100多個目標，并要求支付超過1.45億美元的贖金，現在已經得到了6000萬美元的勒索款項。

聯邦調查局和CISA的最新發(fā)現

聯邦調查局已經發(fā)現，Cube勒索軟件行為者所攻擊的美國實體的數量和所要求的贖金數額都在急劇增加。

自2022年春季以來，Cube勒索軟件攻擊者擴大了他們的TTPs。

第三方組織和開源報告已經確定Cube勒索軟件攻擊者、RomCom遠程訪問木馬(RAT)行為者和工業(yè)間諜勒索軟件攻擊者之間可能存在聯系。

該組織習慣使用雙重勒索攻擊，他們不僅會加密數據而且還要求支付贖金，并且還威脅說如果目標不支付贖金(要求以比特幣支付)，就會泄露從被害者那里偷來的數據。

攻擊者使用最新的勒索軟件技術這是CISA和FBI對Cube勒索軟件的第二次警告，第一次是在2021年12月。最近發(fā)警告的原因是因為網絡攻擊的數量突然增加，也因為攻擊者增加了攻擊的復雜性，使其無法被發(fā)現和難以阻止。

這些技術包括濫用Windows通用日志文件系統(CLFS)驅動程序(CVE-2022-24521)中的一個漏洞，該漏洞允許攻擊者檢索系統令牌以及啟用權限，同時部署PowerShell腳本，找出服務賬戶，以便更好地訪問高級系統控制。

攻擊背后的Cube勒索軟件

安全研究員發(fā)現Cube勒索軟件也會攻擊Zerologon，這是微軟Windows認證協議Netlogon(CVE-2020-1472)的一個漏洞，利用該漏洞可以獲得域管理權限。Zerologon是在2020年9月被發(fā)現的，當時被認為是有 ”極大的風險”，然而，兩年后，威脅者仍然能夠濫用它。

Cube勒索軟件用來獲得受害者系統訪問權限的技術包括利用商業(yè)軟件的已知漏洞、網絡釣魚活動、利用被盜的用戶數據和密碼，以及濫用遠程桌面協議(RDP)應用程序。

一旦攻擊者獲得了訪問權限，他就會安裝Hancitor，這是一種惡意軟件的有效載荷，可以讓他輕松地重新獲得訪問權，并在被利用的網絡上發(fā)起攻擊，最后再用于投放和啟動勒索軟件的有效載荷。

聯邦調查局和CISA鼓勵網絡防御者聯合CSA，并盡可能去應用更多的緩解措施。

參考及來源：https://www.cysecurity.news/2022/12/fbi-cisa-alert-ransomware-gang-attacked.html

原文來源：嘶吼專業(yè)版