新2会员手机管理端:"Cuba"勒索『suo』软件团伙获得了4400万美元的赎(shu)金

联邦调查局警告说,cuba勒索软件团伙已经开始进行攻击,截至11月,美国至少已经有五个关键部门49个实体受到了影响。

在一份紧急警报中,联邦调查局发现该团伙已经对美国的金融、 *** 、医疗保健、制造业和信息技术领域的多个实体进行了一系列的 *** 攻击。总体而言,这些攻击使攻击者获得了4400万美元的勒索赎金。这比该团伙在整个攻击中实际要求的7400万美元的一半多一点,这表明并不是所有的公司都全额支付了赎金。

这里联邦调查局并没有提到具体的受害者,但在上个月该局还警告说,该团伙的攻击目标是全美境内的赌场。

联邦调查局指出,攻击团伙使用的勒索软件是通过在第一阶段向系统植入木马来进行传播的,并且它还作为后续有效载荷的加载器进行使用,而且该软件已经存在了至少五年了。根据联邦调查局的警报,攻击者通过钓鱼邮件、微软Exchange漏洞、泄露的凭证或合法的远程桌面协议(RDP)工具来获得对目标机器的初始访问权限。

在软件安装成功后,勒索软件的攻击者还会使用大量合法的Windows服务进行攻击,如PowerShell、PsExec和Cobalt Strike,这些都是 *** 犯罪分子为实现横向移动而大量使用的合法测试工具。该工具使用信标来有效识别目标环境中的可利用漏洞。

根据联邦调查局的分析,Cobalt Strike信标通过PowerShell安装在受害者的 *** 上。一旦安装成功后,勒索软件就会下载两个可执行文件,其中包括用于获取密码的pones.exe和krots.exe文件,这两个文件也被称为KPOT,这就使得勒索软件攻击者能够对系统中的临时(TMP)文件有写入的权限。

一旦TMP文件上传成功,KPOT就会被删除,这一招是为了销毁勒索软件的攻击痕迹。之后TMP文件就会在被攻击的 *** 中进行执行。

警报说:"TMP文件使用了与内存注入有关的API调用,一旦执行成功,该文件将会从系统中删除。在删除TMP文件后,被攻击的 *** 就开始与位于黑山的域名teoresp.com进行通信。"

,

新2会员手机管理端www.22223388.com)实时更新发布最新最快的新2 *** 线路、新2会员线路、新2备用登录网址、新2会员手机管理端、新2手机版登录网址、新2皇冠登录网址。

,

cuba攻击者还使用了MimiKatz恶意软件来窃取受害者的凭证,然后使用远程桌面协议(RDP)以特定的用户账户来登录被入侵的 *** 主机。

根据分析,一旦RDP连接成功,cuba勒索软件的攻击者就会使用Cobalt Strike服务器与被攻击的用户账户进行通信。最初的PowerShell攻击脚本中就含有分配内存空间来运行一个base64编码的有效载荷功能。一旦这个有效载荷被加载到内存中,它就可以用来执行远程命令和控制(C2)服务器的命令,然后接着部署下一阶段的攻击文件。

所有被攻击的文件都会以".cuba "为扩展名进行加密,这也是该勒索软件的名称。

联邦调查局/国际安全局联合警告各组织在假日期间要格外警惕。

根据该警告,虽然CISA和FBI目前都没有确定任何具体的威胁,但最近2021年的趋势显示,恶意 *** 攻击者在节假日和周末,包括独立日和母亲节的周末,发起了严重的勒索软件攻击活动,造成了巨大的影响。

勒索软件的攻击策略在不断演变。研究人员通过电子邮件说,从勒索软件的商业化到最近的勒索服务工具的出现,再到越来越复杂的攻击策略。为了防止攻击,这里需要组织和 *** 进行不断的监测和教育。

各个组织可以采取各种措施,通过实施各种安全方式来保护自己,如对员工进行钓鱼邮件识别的培训、及时打补丁、实施电子邮件安全解决方案、定期进行渗透测试和漏洞扫描、 *** 隔离、数据加密、远程备份,以及使用一个强大的、经过测试的事件响应制度。

不幸的是,我们生活在一个不可能100%预防 *** 危机的时代,但保持一定的警惕性、持续进行 *** 威胁教育以及计划周密的威胁检测和响应策略将大大有助于保持组织内部敏感数据的安全。

本文翻译自:https://threatpost.com/cuba-ransomware-gang-44m-payouts/176790/

  • 评论列表:
  •  usdt官网下载(www.caibao.it)
     发布于 2022-01-15 00:02:11  回复
  •   东吴证券(601555)固收分析师李勇认为,随着春节临近,1月资金面季节性特征明显,考虑财政存款、现金走款和银行缴准因素后,流动性缺口约为27,800亿元,央行可能采取逆回购和碳减排支持工具结合的方法解决春节前的流动性问题。助力让你火

添加回复:

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。