古巴勒索软件从100多个实体勒索6000多万美元赎金

截至2022年8月，古巴（又名COLDDRAW）勒索软件背后的威胁行为者已收到超过6000万美元的赎金，并在全球100多个实体中受到威胁。

在美国网络安全与基础设施安全局（CISA）和联邦调查局（FBI）共同发布的一份新的咨询报告中，这些机构强调“美国实体受到威胁的数量和赎金数额都急剧增加”

据观察，勒索软件团队也被称为热带天蝎座（Tropical Scorpius），其目标是金融服务、政府设施、医疗保健、关键制造业和IT部门，同时扩展其策略，以获得初始访问权限并与被破坏的网络进行交互。

值得注意的是，尽管名字是“古巴”，但没有证据表明这些演员与这个岛国有任何联系或联系。

攻击的切入点包括利用已知的安全漏洞、网络钓鱼、泄露的凭据和合法的远程桌面协议（RDP）工具，然后通过Hancitor（又名Chanitor）分发勒索软件。

古巴在其工具集中引入的一些缺陷如下-

• CVE-2022-24521号（CVSS评分：7.8）-Windows公共日志文件系统（CLFS）驱动程序中的权限漏洞提升
• CVE-2020-1472号（CVSS评分：10.0）-Netlogon远程协议（又名ZeroLogon）中权限漏洞的提升

CISA指出：“除了部署勒索软件外，参与者还使用了‘双重勒索’技术，他们窃取受害者数据，（1）要求支付赎金以解密数据，（2）威胁如果不支付赎金，将公开发布数据”。

黑莓和帕洛阿尔托网络第42单元最近的调查结果显示，据说古巴还与RomCom RAT和另一个名为Industrial Spy的勒索软件家族的运营商有联系。

RomCom RAT通过合法软件的特洛伊木马版本分发，如SolarWinds Network Performance Monitor、KeePass、PDF Reader Pro、Advanced IP Scanner、pdfFiller和Veeam Backup&amp；在假冒的相似网站上托管的复制。

CISA和FBI的这一建议是该机构发布的一系列关于MedusaLocker、齐柏林飞船、Vice Society、Daixin Team和Hive等不同勒索软件的警告中的最新一次。