Cuba Ransomware IOCs

ransomware IOC

Федеральное бюро расследований (ФБР) и Агентство по кибербезопасности и инфраструктурной безопасности (CISA) выпускают этот совместный CSA, чтобы распространить известные IOCs и TTPs, связанные с субъектами Cuba ransomware, выявленные в результате расследований ФБР, сообщений третьих сторон и сообщений из открытых источников.
ПРИМЕЧАНИЕ: Хотя эта программа-вымогатель известна в отрасли как "Cuba ransomware", нет никаких признаков того, что субъекты Cuba ransomware имеют какую-либо связь или аффилированность с Республикой Куба.

После выхода в декабре 2021 года публикации FBI Flash: Indicators of Compromise Associated with Cuba Ransomware, ФБР заметило, что субъекты Cuba ransomware продолжают атаковать американские организации в следующих пяти секторах критической инфраструктуры: Финансовые услуги, правительственные учреждения, здравоохранение и общественное здоровье, критически важные производства и информационные технологии. По состоянию на август 2022 года, ФБР установило, что кубинские разработчики программ-вымогателей:

  • Скомпрометировали более 100 организаций по всему миру.
  • Потребовали более 145 миллионов долларов США (USD) и получили более 60 миллионов долларов США в качестве выкупа.

Получив первоначальный доступ, злоумышленники распространяли программу Cuba ransomware на взломанных системах с помощью Hancitor - загрузчика, известного тем, что сбрасывает или выполняет в сетях жертв программы-угонщики, такие как трояны удаленного доступа (RAT) и другие типы программ-вымогателей.
Начиная с весны 2022 года, кубинские вирусы-вымогатели изменили свои ТТП и инструменты для взаимодействия со взломанными сетями и вымогательства платежей у жертв.
Субъекты Cuba ransomware использовали известные уязвимости и слабые места и применяли инструменты для повышения привилегий во взломанных системах. По данным подразделения 42 компании Palo Alto Networks, участники программы Cuba ransomware:

  • Эксплуатировали CVE-2022-24521 в драйвере Windows Common Log File System (CLFS) для кражи системных токенов и повышения привилегий.
  • Использовали сценарий PowerShell для идентификации и поиска учетных записей служб для получения связанных с ними билетов Active Directory Kerberos. Затем участники собирали и взламывали билеты Kerberos в автономном режиме с помощью Kerberoasting.
  • Использовали инструмент под названием KerberCache для извлечения кэшированных билетов Kerberos из памяти сервера локального управления безопасностью - службы (LSASS) хоста.
  • Использовал инструмент для эксплуатации CVE-2020-1472 (также известного как "ZeroLogon") для получения привилегий администратора домена. Этот инструмент и попытки вторжения с его помощью, по сообщениям, связаны с Hancitor и Qbot.

Indicators of Compromise

IPv4

  • 103.114.163.197
  • 103.27.203.197
  • 104.217.8.100
  • 108.170.31.115
  • 128.31.0.34
  • 128.31.0.39
  • 141.98.87.124
  • 144.172.83.13
  • 149.255.35.131
  • 159.203.70.39
  • 185.153.199.169
  • 192.137.100.96
  • 192.137.100.98
  • 192.137.101.205
  • 192.137.101.46
  • 193.34.167.17
  • 195.54.160.149
  • 209.76.253.84
  • 212.192.241.230
  • 213.32.39.43
  • 216.45.55.3
  • 216.45.55.30
  • 217.79.43.148
  • 222.252.53.33
  • 23.227.198.246
  • 31.184.192.44
  • 37.120.247.39
  • 37.44.253.21
  • 38.108.119.121
  • 45.164.21.13
  • 45.32.229.66
  • 45.86.162.34
  • 45.91.83.176
  • 64.235.39.82
  • 64.52.169.174
  • 79.141.169.220
  • 84.17.52.135
  • 92.222.172.172
  • 92.222.172.39
  • 94.103.9.79

Emails

  • admin@cuba-supp.com
  • admin@encryption-support.com
  • cuba_support@exploit.im
  • inbox@mail.supports24.net

MD5

  • 03c835b684b21ded9a4ab285e4f686a3
  • 236f5de8620a6255f9003d054f08574b
  • 4c32ef0836a0af7025e97c6253054bca

SHA1

  • 241ce8af441db2d61f3eb7852f434642739a6cc3
  • 9b546bd99272cf4689194d698c830a2510194722
  • eaced2fcfdcbf3dca4dd77333aaab055345f3ab4

SHA256

  • 01242b35b6def71e42cc985e97d618e2fabd616b16d23f7081d575364d09ca74
  • 02a733920c7e69469164316e3e96850d55fca9f5f9d19a241fad906466ec8ae8
  • 08eb4366fc0722696edb03981f00778701266a2e57c40cd2e9d765bf8b0a34d0
  • 0afed8d1b7c36008de188c20d7f0e2283251a174261547aab7fb56e31d767666
  • 0c2ffed470e954d2bf22807ba52c1ffd1ecce15779c0afdf15c292e3444cf674
  • 0cf6399db55d40bc790a399c6bbded375f5a278dc57a143e4b21ea3f402f551f
  • 0d5e3483299242bf504bd3780487f66f2ec4f48a7b38baa6c6bc8ba16e4fb605
  • 0f385cc69a93abeaf84994e7887cb173e889d309a515b55b2205805bdfe468a3
  • 10a5612044599128981cb41d71d7390c15e7a2a0c2848ad751c3da1cbec510a2
  • 1807549af1c8fdc5b04c564f4026e41790c554f339514d326f8b55cb7b9b4f79
  • 1817cc163482eb21308adbd43fb6be57fcb5ff11fd74b344469190bb48d8163b
  • 1b943afac4f476d523310b8e3afe7bca761b8cbaa9ea2b9f01237ca4652fc834
  • 1f842f84750048bb44843c277edeaa8469697e97c4dbf8dc571ec552266bec9f
  • 2eb3ef8a7a2c498e87f3820510752043b20cbe35b0cbd9af3f69e8b8fe482676
  • 310afba59ab8e1bda3ef750a64bf39133e15c89e8c7cf4ac65ee463b26b136ba
  • 3a8b7c1fe9bd9451c0a51e4122605efc98e7e4e13ed117139a13e4749e211ed0
  • 3d4502066a338e19df58aa4936c37427feecce9ab8d43abff4a7367643ae39ce
  • 4306c5d152cdd86f3506f91633ef3ae7d8cf0dd25f3e37bec43423c4742f4c42
  • 571f8db67d463ae80098edc7a1a0cad59153ce6592e42d370a45df46f18a4ad8
  • 61971d3cbf88d6658e5209de443e212100afc8f033057d9a4e79000f6f0f7cc4
  • 74fbf3cc44dd070bd5cb87ca2eed03e1bbeec4fec644a25621052f0a73abbe84
  • 7e00bfb622072f53733074795ab581cf6d1a8b4fc269a50919dda6350209913c
  • 857f28b8fe31cf5db6d45d909547b151a66532951f26cda5f3320d2d4461b583
  • 88d13669a994d2e04ec0a9940f07ab8aab8563eb845a9c13f2b0fec497df5b17
  • 8a3d71c668574ad6e7406d3227ba5adc5a230dd3057edddc4d0ec5f8134d76c3
  • 8e64bacaf40110547b334eadcb0792bdc891d7ae298fbfff1367125797b6036b
  • 952b34f6370294c5a0bb122febfaa80612fef1f32eddd48a3d0556c4286b7474
  • 9aa1f37517458d635eae4f9b43cb4770880ea0ee171e7e4ad155bbdee0cbe732
  • a7c207b9b83648f69d6387780b1168e2f1eabd23ae6e162dd700ae8112f8b96c
  • af4523186fe4a5e2833bbbe14939d8c3bd352a47a2f77592d8adcb569621ce02
  • b160bd46b6efc6d79bfb76cf3eeacca2300050248969decba139e9e1cbeebf53
  • b5d202456ac2ce7d1285b9c0e2e5b7ddc03da1cbca51b5da98d9ad72e7f773b8
  • b9afe016dbdba389000b01ce7645e7eea1b0a50827cded1cbaa48fbc715197bb
  • bd270853db17f94c2b8e4bd9fa089756a147ed45cbc44d6c2b0c78f361978906
  • bff4dd37febd5465e0091d9ea68006be475c0191bd8c7a79a44fbf4b99544ef1
  • c646199a9799b6158de419b1b7e36b46c7b7413d6c35bfffaeaa8700b2dcc427
  • db3b1f224aec1a7c58946d819d729d0903751d1867113aae5cca87e38c653cf4
  • e0d89c88378dcb1b6c9ce2d2820f8d773613402998b8dcdb024858010dec72ed
  • ecefd9bb8b3783a81ab934b44eb3d84df5e58f0289f089ef6760264352cf878a
  • f1103e627311e73d5f29e877243e7ca203292f9419303c661aec57745eb4f26c
  • f538b035c3de87f9f8294bec272c1182f90832a4e86db1e47cbb1ab26c9f3a0b
  • f5db51115fa0c910262828d0943171d640b4748e51c9a140d06ea81ae6ea1710
  • f8144fa96c036a8204c7bc285e295f9cd2d1deb0379e39ee8a8414531104dc4a
  • f869e8fbd8aa1f037ad862cf6e8bbbf797ff49556fb100f2197be4ee196a89ae
  • fd87ca28899823b37b2c239fbbd236c555bcab7768d67203f86d37ede19dd975
SEC-1275-1
Добавить комментарий