Операторы вымогателя Cuba получили от своих жертв более 60 млн долларов выкупов в 2022 году, "umteh"
Добавлено: 03 дек 2022, 05:29
ФБР и Агентство по инфраструктуре и кибербезопасности США (CISA) сообщают, что по состоянию на август 2022 года операторы вымогателя Cuba получили от своих жертв более 60 млн долларов выкупов (изначально хакеры запрашивали выкупы на сумму более 145 млн долларов) и суммарно атаковали уже более 100 организаций по всему миру.
Новый бюллетень безопасности является прямым продолжением аналогичного документа годичной давности. Напомню, что в декабре 2021 года, когда сообщалось, что вымогатель Cuba принес своим авторами около 43,9 млн долларов, скомпрометировав по меньшей мере 49 организаций.
«С момента выпуска бюллетеня в декабре 2021 число американских организаций, скомпрометированных программой-вымогателем Cuba, удвоилось, а также растут требуемые и выплачиваемые выкупы. ФБР заметило, что Cuba продолжает атаковать американские организации в следующих пяти критически важнейших инфраструктурных секторах, включая финансовый и государственный сектор, здравоохранение, производство и ИТ».
Специалисты ФБР и CISA добавляют, что в прошедшем году стало известно, что вымогатели совершенствуют свои тактики и методы, и теперь их связывают с трояном удаленного доступа RomCom (RAT) и программой-вымогателем Industrial Spy.
Интересно, что статистика платформы ID-Ransomware не позволяет назвать вымогатель Cuba особенно активным, и это лишь доказывает, что даже такой шифровальщик может оказать огромное влияние на жертв и принести своим операторам прибыль.
Специалисты Palo Alto Networks сообщают, что операторы шифровальщика Cuba стали применять в своих атаках новые тактики, в том числе, использовать ранее неизвестный троян удаленного доступа (remote access trojan, RAT) под названием ROMCOM.
Исследователи рассказывают о хак-группе Tropical Scorpius, которая, судя по всему, является «партнером» вымогателя Cuba. Напомню, что этот вымогатель известен ИБ-специалистам с 2019 года. Наиболее активен он был в конце 2021 года, когда его связывали с атакам на 60 организаций в пяти критических секторах инфраструктуры (включая финансовый и государственный сектор, здравоохранение, производство и ИТ), в результате которых хакеры получили не менее 43,9 млн долларов в виде выкупов.
Последнее заметное обновление Cuba было зафиксировано в первом квартале 2022 года, когда операторы малвари перешли на обновленную версию шифровальщика с более тонкими настройками и добавили поддержку quTox для связи со своими жертвами.
Как теперь рассказывают аналитики Palo Alto Networks, вышеупомянутая группа Tropical Scorpius, использует стандартный пейлоад Cuba, который практически не изменился с 2019 года. Одно из немногих обновлений 2022 года связано с использованием легитимного, но недействительного сертификата Nvidia (ранее украденного у компании хакерами из Lapsus$) для подписи драйвера ядра, который используется на начальных этапах заражения. Задача этого драйвера — обнаруживать процессы, принадлежащие защитным продуктам, и завершать их, чтобы помочь злоумышленникам избежать обнаружения.
После этого Tropical Scorpius использует инструмент для локального повышения привилегий, в основе которого лежит эксплоит для уязвимости CVE-2022-24521, исправленной в апреле 2022 года. По словам исследователей, этот этап атаки явно вдохновлен подробным описанием проблемы от ИБ-исследователя Сергея Корниенко.
Следующая фаза атаки Tropical Scorpius включает загрузку ADFind и Net Scan для выполнения бокового перемещения. Вместе с этим злоумышленники развертывают в сети жертвы инструмент, который помогает им получить кэшированные учетные данные Kerberos. Также хакеры могут применять инструмент для эксплуатации нашумевшей уязвимости Zerologon (CVE-2020-1472) для получения привилегий администратора домена.
Под конец атаки операторы Tropical Scorpius наконец развертывают в сети жертвы малварь ROMCOM RAT, которая держит связь с управляющими серверами через запросы ICMP, выполняемые через функции Windows API.
ROMCOM RAT поддерживает десять основных команд:
получить информацию о подключенном диске;
получить списки файлов для указанного каталога;
запустить реверс-шелл svchelper.exe в папке %ProgramData%;
загрузить данные на управляющий сервер в виде файла ZIP, используя IShellDispatch для копирования файлов;
скачать данные и записать в worker.txt в папке %ProgramData%;
удалить указанный файл;
удалить указанный каталог;
создать процесс с подменой PID;
обрабатывать только ServiceMain,полученный от управляющего сервера и «спать» в на протяжении 120 000 мс;
выполнить обход запущенных процессов и собрать их ID.
Эксперты отмечают, что хакеры из Tropical Scorpius скомпилировали новейшую версию ROMCOM и загрузили ее на VirusTotal 20 июня 2022 года. Эта версия содержит еще десять дополнительных команд, предоставляя злоумышленникам более широкие возможности для выполнения и загрузки файлов, а также завершения процессов.
Кроме того, новая версия поддерживает получение дополнительных полезных нагрузок с управляющего сервера, например, таких как программа для снятия скриншотов Screenshooter.
Исследователи заключают, что с появлением Tropical Scorpius, шифровальщик Cuba превращается в более серьезную угрозу, хотя в целом этот вымогатель не может похвастаться большим количеством жертв.
Рынок вымогательства данных промышленного шпиона теперь запустил собственную операцию по вымогательству, где теперь они также шифруют устройства жертвы.
Появился рынок вымогательства данных под названием Industrial Spy, который позволял субъектам угрозы и, возможно, даже конкурентам по бизнесу приобретать данные, украденные у компаний.
На этой торговой площадке продаются различные типы украденных данных, начиная от продажи "премиальных" данных за миллионы долларов и заканчивая отдельными файлами всего за 2 доллара.
Чтобы продвигать свой сервис, злоумышленники сотрудничали с загрузчиками рекламного ПО и поддельными сайтами взлома для распространения вредоносного ПО, которое создавало README.txt файлы на устройстве.
Злоумышленники использовали эти файлы для продвижения своего рынка, объясняя, что читатели могут приобретать схемы, чертежи, технологии, политические и военные секреты, бухгалтерские отчеты и клиентские базы данных своих конкурентов.
Промышленный шпион попадает в игру с вымогателями
Исследователь безопасности MalwareHunterTeam обнаружил новый образец вредоносного ПО промышленного шпиона, который больше походил на записку с требованием выкупа, а не на рекламный текстовый файл.
В этой записке о выкупе теперь говорится, что субъекты угрозы промышленного шпиона не только украли данные жертвы, но и зашифровали их.
"К сожалению, мы должны сообщить вам, что ваша компания была скомпрометирована. Все ваши файлы были зашифрованы, и вы не сможете восстановить их без нашего закрытого ключа. Попытка восстановить его без нашей помощи может привести к полной потере ваших данных ", - говорится в сообщении о выкупе промышленного шпиона, опубликованном ниже.
"Также мы исследовали всю вашу корпоративную сеть и загрузили все ваши конфиденциальные данные на наши серверы. Если мы не получим от вас никакого контакта в течение 3 следующих дней, мы опубликуем ваши данные на сайте "Рынок промышленного шпиона.
Тесты BleepingComputer показали, что программа-вымогатель Industrial Spy действительно шифрует файлы, но, в отличие от большинства других семейств программ-вымогателей, не добавляет новое расширение к именам зашифрованных файлов, как показано ниже.
BleepingComputer также поделился образцом с экспертом по вымогательству Майклом Гиллеспи, который с первого взгляда сказал, что, по его мнению, он использует шифрование DES, при этом ключ зашифрован с использованием открытого ключа RSA1024.
Программа-вымогатель также использует файловый маркер 0xFEEDBEEF, который мы раньше не видели в семействе программ-вымогателей. Однако этот файловый маркер не следует путать с 0xDEADBEEF; хорошо известное магическое значение отладки, используемое в программировании.
При шифровании файлов программа-вымогатель промышленного шпиона создаст указанную выше записку с требованием выкупа под названием 'README.html - в каждой папке на устройстве.
Эти заметки о выкупе содержат идентификатор токсина, который жертвы могут использовать для связи с бандой вымогателей и переговоров о выкупе.
Связь с Cuba ransomware?
Изучая идентификатор токсина и адрес электронной почты, найденные в записке с требованием выкупа, команда MalwareHunterTeam обнаружила странную связь с операцией Cuba ransomware.
Образец вымогателей, загруженный на VirusTotal, создает записку с требованием выкупа с идентичным идентификатором TOX и адресом электронной почты. Однако вместо ссылки на сайт Industrial Spy Tor он ссылается на сайт утечки данных Cuba Ransomware и использует то же имя файла, !! ПРОЧИТАЙТЕ МЕНЯ !!.txt, как известно, Куба отмечает выкуп.
Кроме того, к зашифрованным файлам добавляется расширение .cuba, как и при обычной операции Cuba ransomware при шифровании файлов.
Хотя это не на 100% связывает две группы вместе, очень возможно, что участники угрозы промышленного шпиона просто использовали информацию Кубы при тестировании создания своей программы-вымогателя.
Тем не менее, это своеобразно, и за этим должны следить исследователи и аналитики в области безопасности.
Новый бюллетень безопасности является прямым продолжением аналогичного документа годичной давности. Напомню, что в декабре 2021 года, когда сообщалось, что вымогатель Cuba принес своим авторами около 43,9 млн долларов, скомпрометировав по меньшей мере 49 организаций.
«С момента выпуска бюллетеня в декабре 2021 число американских организаций, скомпрометированных программой-вымогателем Cuba, удвоилось, а также растут требуемые и выплачиваемые выкупы. ФБР заметило, что Cuba продолжает атаковать американские организации в следующих пяти критически важнейших инфраструктурных секторах, включая финансовый и государственный сектор, здравоохранение, производство и ИТ».
Специалисты ФБР и CISA добавляют, что в прошедшем году стало известно, что вымогатели совершенствуют свои тактики и методы, и теперь их связывают с трояном удаленного доступа RomCom (RAT) и программой-вымогателем Industrial Spy.
Интересно, что статистика платформы ID-Ransomware не позволяет назвать вымогатель Cuba особенно активным, и это лишь доказывает, что даже такой шифровальщик может оказать огромное влияние на жертв и принести своим операторам прибыль.
Специалисты Palo Alto Networks сообщают, что операторы шифровальщика Cuba стали применять в своих атаках новые тактики, в том числе, использовать ранее неизвестный троян удаленного доступа (remote access trojan, RAT) под названием ROMCOM.
Исследователи рассказывают о хак-группе Tropical Scorpius, которая, судя по всему, является «партнером» вымогателя Cuba. Напомню, что этот вымогатель известен ИБ-специалистам с 2019 года. Наиболее активен он был в конце 2021 года, когда его связывали с атакам на 60 организаций в пяти критических секторах инфраструктуры (включая финансовый и государственный сектор, здравоохранение, производство и ИТ), в результате которых хакеры получили не менее 43,9 млн долларов в виде выкупов.
Последнее заметное обновление Cuba было зафиксировано в первом квартале 2022 года, когда операторы малвари перешли на обновленную версию шифровальщика с более тонкими настройками и добавили поддержку quTox для связи со своими жертвами.
Как теперь рассказывают аналитики Palo Alto Networks, вышеупомянутая группа Tropical Scorpius, использует стандартный пейлоад Cuba, который практически не изменился с 2019 года. Одно из немногих обновлений 2022 года связано с использованием легитимного, но недействительного сертификата Nvidia (ранее украденного у компании хакерами из Lapsus$) для подписи драйвера ядра, который используется на начальных этапах заражения. Задача этого драйвера — обнаруживать процессы, принадлежащие защитным продуктам, и завершать их, чтобы помочь злоумышленникам избежать обнаружения.
После этого Tropical Scorpius использует инструмент для локального повышения привилегий, в основе которого лежит эксплоит для уязвимости CVE-2022-24521, исправленной в апреле 2022 года. По словам исследователей, этот этап атаки явно вдохновлен подробным описанием проблемы от ИБ-исследователя Сергея Корниенко.
Следующая фаза атаки Tropical Scorpius включает загрузку ADFind и Net Scan для выполнения бокового перемещения. Вместе с этим злоумышленники развертывают в сети жертвы инструмент, который помогает им получить кэшированные учетные данные Kerberos. Также хакеры могут применять инструмент для эксплуатации нашумевшей уязвимости Zerologon (CVE-2020-1472) для получения привилегий администратора домена.
Под конец атаки операторы Tropical Scorpius наконец развертывают в сети жертвы малварь ROMCOM RAT, которая держит связь с управляющими серверами через запросы ICMP, выполняемые через функции Windows API.
ROMCOM RAT поддерживает десять основных команд:
получить информацию о подключенном диске;
получить списки файлов для указанного каталога;
запустить реверс-шелл svchelper.exe в папке %ProgramData%;
загрузить данные на управляющий сервер в виде файла ZIP, используя IShellDispatch для копирования файлов;
скачать данные и записать в worker.txt в папке %ProgramData%;
удалить указанный файл;
удалить указанный каталог;
создать процесс с подменой PID;
обрабатывать только ServiceMain,полученный от управляющего сервера и «спать» в на протяжении 120 000 мс;
выполнить обход запущенных процессов и собрать их ID.
Эксперты отмечают, что хакеры из Tropical Scorpius скомпилировали новейшую версию ROMCOM и загрузили ее на VirusTotal 20 июня 2022 года. Эта версия содержит еще десять дополнительных команд, предоставляя злоумышленникам более широкие возможности для выполнения и загрузки файлов, а также завершения процессов.
Кроме того, новая версия поддерживает получение дополнительных полезных нагрузок с управляющего сервера, например, таких как программа для снятия скриншотов Screenshooter.
Исследователи заключают, что с появлением Tropical Scorpius, шифровальщик Cuba превращается в более серьезную угрозу, хотя в целом этот вымогатель не может похвастаться большим количеством жертв.
Рынок вымогательства данных промышленного шпиона теперь запустил собственную операцию по вымогательству, где теперь они также шифруют устройства жертвы.
Появился рынок вымогательства данных под названием Industrial Spy, который позволял субъектам угрозы и, возможно, даже конкурентам по бизнесу приобретать данные, украденные у компаний.
На этой торговой площадке продаются различные типы украденных данных, начиная от продажи "премиальных" данных за миллионы долларов и заканчивая отдельными файлами всего за 2 доллара.
Чтобы продвигать свой сервис, злоумышленники сотрудничали с загрузчиками рекламного ПО и поддельными сайтами взлома для распространения вредоносного ПО, которое создавало README.txt файлы на устройстве.
Злоумышленники использовали эти файлы для продвижения своего рынка, объясняя, что читатели могут приобретать схемы, чертежи, технологии, политические и военные секреты, бухгалтерские отчеты и клиентские базы данных своих конкурентов.
Промышленный шпион попадает в игру с вымогателями
Исследователь безопасности MalwareHunterTeam обнаружил новый образец вредоносного ПО промышленного шпиона, который больше походил на записку с требованием выкупа, а не на рекламный текстовый файл.
В этой записке о выкупе теперь говорится, что субъекты угрозы промышленного шпиона не только украли данные жертвы, но и зашифровали их.
"К сожалению, мы должны сообщить вам, что ваша компания была скомпрометирована. Все ваши файлы были зашифрованы, и вы не сможете восстановить их без нашего закрытого ключа. Попытка восстановить его без нашей помощи может привести к полной потере ваших данных ", - говорится в сообщении о выкупе промышленного шпиона, опубликованном ниже.
"Также мы исследовали всю вашу корпоративную сеть и загрузили все ваши конфиденциальные данные на наши серверы. Если мы не получим от вас никакого контакта в течение 3 следующих дней, мы опубликуем ваши данные на сайте "Рынок промышленного шпиона.
Тесты BleepingComputer показали, что программа-вымогатель Industrial Spy действительно шифрует файлы, но, в отличие от большинства других семейств программ-вымогателей, не добавляет новое расширение к именам зашифрованных файлов, как показано ниже.
BleepingComputer также поделился образцом с экспертом по вымогательству Майклом Гиллеспи, который с первого взгляда сказал, что, по его мнению, он использует шифрование DES, при этом ключ зашифрован с использованием открытого ключа RSA1024.
Программа-вымогатель также использует файловый маркер 0xFEEDBEEF, который мы раньше не видели в семействе программ-вымогателей. Однако этот файловый маркер не следует путать с 0xDEADBEEF; хорошо известное магическое значение отладки, используемое в программировании.
При шифровании файлов программа-вымогатель промышленного шпиона создаст указанную выше записку с требованием выкупа под названием 'README.html - в каждой папке на устройстве.
Эти заметки о выкупе содержат идентификатор токсина, который жертвы могут использовать для связи с бандой вымогателей и переговоров о выкупе.
Связь с Cuba ransomware?
Изучая идентификатор токсина и адрес электронной почты, найденные в записке с требованием выкупа, команда MalwareHunterTeam обнаружила странную связь с операцией Cuba ransomware.
Образец вымогателей, загруженный на VirusTotal, создает записку с требованием выкупа с идентичным идентификатором TOX и адресом электронной почты. Однако вместо ссылки на сайт Industrial Spy Tor он ссылается на сайт утечки данных Cuba Ransomware и использует то же имя файла, !! ПРОЧИТАЙТЕ МЕНЯ !!.txt, как известно, Куба отмечает выкуп.
Кроме того, к зашифрованным файлам добавляется расширение .cuba, как и при обычной операции Cuba ransomware при шифровании файлов.
Хотя это не на 100% связывает две группы вместе, очень возможно, что участники угрозы промышленного шпиона просто использовали информацию Кубы при тестировании создания своей программы-вымогателя.
Тем не менее, это своеобразно, и за этим должны следить исследователи и аналитики в области безопасности.