Cuba (aka COLDDRAW) fidye yazılımının arkasındaki tehdit aktörleri, 60 milyon dolardan fazla fidye ödemesi aldı ve Ağustos 2022 itibarıyla dünya genelinde 100’den fazla varlığın güvenliğini ihlal etti.
ABD Siber Güvenlik ve Altyapı Güvenliği Teşkilatı (CISA) ve Federal Soruşturma Bürosu (FBI) tarafından paylaşılan yeni bir danışma belgesinde, ajanslar “hem tehlikeye atılan ABD varlıklarının sayısında hem de fidye miktarlarında keskin bir artış” olduğunu vurguladılar.
Tropical Scorpius olarak da bilinen fidye yazılımı ekibinin finansal hizmetleri, devlet tesislerini, sağlık hizmetlerini, kritik üretim ve BT sektörlerini hedef alırken aynı anda ilk erişimi elde etmek ve ihlal edilen ağlarla etkileşim kurmak için taktiklerini genişlettiği gözlemlendi.
Saldırıların giriş noktası, bilinen güvenlik açıklarının, kimlik avının, güvenliği ihlal edilmiş kimlik bilgilerinin ve meşru uzak masaüstü protokolü (RDP) araçlarının istismar edilmesini ve ardından fidye yazılımının Hancitor (namı diğer Chanitor) aracılığıyla dağıtılmasını içerir.
Küba’nın araç setine dahil ettiği kusurlardan bazıları şunlardır:
- CVE-2022-24521 (CVSS puanı: 7.8) – Windows Ortak Günlük Dosya Sistemi (CLFS) Sürücüsünde ayrıcalık yükselmesi güvenlik açığı
- CVE-2020-1472 (CVSS puanı: 10.0) – Netlogon uzak protokolünde (diğer adıyla ZeroLogon) bir ayrıcalık yükselmesi güvenlik açığı
“Aktörler, fidye yazılımı dağıtmanın yanı sıra, kurban verilerini sızdırdıkları ve (1) şifresini çözmek için fidye ödemesi talep ettikleri ve (2) bir fidye ödemesi yapılırsa kamuya açıklamakla tehdit ettikleri ‘çifte gasp’ teknikleri kullandılar. yapılmadı,” CISA kaydetti.
BlackBerry ve Palo Alto Networks Unit 42’nin son bulgularına göre, Küba’nın RomCom RAT operatörleri ve Industrial Spy adlı başka bir fidye yazılımı ailesiyle de bağlantılar paylaştığı söyleniyor.
RomCom RAT, sahte görünümlü web sitelerinde barındırılan SolarWinds Network Performance Monitor, KeePass, PDF Reader Pro ve Advanced IP Scanner, pdfFiller ve Veeam Backup & Replication gibi meşru yazılımların truva atı yapılmış sürümleri aracılığıyla dağıtılır.
CISA ve FBI’dan gelen tavsiyeler, son aylarda MedusaLocker, Zeppelin, Vice Society, Daixin Team ve Hive gibi farklı fidye yazılımı türleri hakkında bir dizi uyarının en sonuncusu.