програма-вимагач Cuba зібрала 60 млн. доларів «викупів " у 100 організацій

Cuba, вона ж COLDDRAW, атакувала понад 100 організацій, зібравши з них 60 млн. доларів, що було виявлено Агентством кібербезпеки і безпеки інфраструктури США (CISA) і Федеральним бюро розслідувань (ФБР). Було відзначено " різке збільшення числа скомпрометованих американських організацій і зростання сум викупу». Цю новину повідомив The Hacker News 2 грудня 2022 року.

Інформаційне повідомлення від CISA та ФБР є останнім у серії попереджень про різні штами програм-вимагачів за останні місяці, такі як MedusaLocker, Zeppelin, Vice Society, Daixin Team та Hive.

Група вимагачів Tropical Scorpius зосередилася на таких серйозних об'єктах, як Фінансові послуги, Державні установи, Охорона здоров'я, Виробництво та ІТ-сектори. Зловмисниками був отриманий початковий доступ до» жертв", і подальша взаємодія зі зламаними мережами.

Представники кібербезпеки пояснили, що точка входу для атак використовувала відомі уразливості безпеки, скомпрометованих облікових даних і легітимних інструментів протоколу віддаленого робочого столу, щоб потім впровадити програму-вимагач за допомогою інструменту Hancitor (або Chanitor).

Cuba використовувала вразливості, пов'язані з підвищенням привілеїв у драйвері Windows Common Log File System (CLFS) та у віддаленому протоколі Netlogon (ZeroLogon). Крім цього стало відомо, що COLDDRAW має зв'язки з операторами RomCom RAT та іншого сімейства програм-вимагачів під назвою Industrial Spy.

Romcom RAT розповсюджується через троянські версії законного програмного забезпечення, такі як Solarwinds network Performance Monitor, KeePass, PDF Reader Pro та Advanced IP Scanner, pdfFiller та Veeam Backup & реплікація, які розміщуються на підроблених веб-сайтах.

Раніше «WorldBank.org.ua» розповів про те, що Google припускає, що у зломах Chrome і Mozilla Firefox винна іспанська фірма.