Программа-вымогатель Cuba собрала 60 млн. долларов «выкупов» у 100 организаций

Cuba, она же COLDDRAW, атаковала свыше 100 организаций, собрав с них 60 млн. долларов, что было выявлено Агентством кибербезопасности и безопасности инфраструктуры США (CISA) и Федеральным бюро расследований (ФБР). Было отмечено «резкое увеличение числа скомпрометированных американских организаций и рост сумм выкупа». Эту новость сообщил the Hacker News 2 декабря 2022 года.

Информационное сообщение от CISA и ФБР является последним в серии предупреждений о различных штаммах программ-вымогателей за последние месяцы, таких как MedusaLocker, Zeppelin, Vice Society, Daixin Team и Hive.

Группа вымогателей Tropical Scorpius сосредоточилась на таких серьезных объектах, как финансовые услуги, государственные учреждения, здравоохранение, Производство и ИТ-сектора. Злоумышленниками был получен начальный доступ к «жертвам», и последующее взаимодействие со взломанными сетями.

Представители кибербезопасности пояснили, что точка входа для атак использовала известные уязвимости безопасности, скомпрометированных учетных данных и легитимных инструментов протокола удаленного рабочего стола, чтобы затем внедрить программу-вымогатель посредством инструмента Hancitor (или Chanitor).

Cuba использовала уязвимости, связанные с повышением привилегий в драйвере Windows Common Log File System (CLFS) и в удаленном протоколе Netlogon (ZeroLogon). Кроме этого стало известно, что COLDDRAW имеет связи с операторами RomCom RAT и другого семейства программ-вымогателей под названием Industrial Spy.

RomCom RAT распространяется через троянские версии законного программного обеспечения, такого как SolarWinds Network Performance Monitor, KeePass, PDF Reader Pro и Advanced IP Scanner, pdfFiller и Veeam Backup & Replication, которые размещаются на поддельных веб-сайтах.

Ранее «LinDeal.com» рассказал о том, что Google предполагает, что во взломах Chrome и Mozilla Firefox виновата испанская фирма.