Федеральное бюро расследований (ФБР) и Агентство по кибербезопасности и инфраструктурной безопасности (CISA) выпускают этот совместный CSA, чтобы распространить известные IOCs и TTPs, связанные с субъектами Cuba ransomware, выявленные в результате расследований ФБР, сообщений третьих сторон и сообщений из открытых источников.
ПРИМЕЧАНИЕ: Хотя эта программа-вымогатель известна в отрасли как "Cuba ransomware", нет никаких признаков того, что субъекты Cuba ransomware имеют какую-либо связь или аффилированность с Республикой Куба.
После выхода в декабре 2021 года публикации FBI Flash: Indicators of Compromise Associated with Cuba Ransomware, ФБР заметило, что субъекты Cuba ransomware продолжают атаковать американские организации в следующих пяти секторах критической инфраструктуры: Финансовые услуги, правительственные учреждения, здравоохранение и общественное здоровье, критически важные производства и информационные технологии. По состоянию на август 2022 года, ФБР установило, что кубинские разработчики программ-вымогателей:
- Скомпрометировали более 100 организаций по всему миру.
- Потребовали более 145 миллионов долларов США (USD) и получили более 60 миллионов долларов США в качестве выкупа.
Получив первоначальный доступ, злоумышленники распространяли программу Cuba ransomware на взломанных системах с помощью Hancitor - загрузчика, известного тем, что сбрасывает или выполняет в сетях жертв программы-угонщики, такие как трояны удаленного доступа (RAT) и другие типы программ-вымогателей.
Начиная с весны 2022 года, кубинские вирусы-вымогатели изменили свои ТТП и инструменты для взаимодействия со взломанными сетями и вымогательства платежей у жертв.
Субъекты Cuba ransomware использовали известные уязвимости и слабые места и применяли инструменты для повышения привилегий во взломанных системах. По данным подразделения 42 компании Palo Alto Networks, участники программы Cuba ransomware:
- Эксплуатировали CVE-2022-24521 в драйвере Windows Common Log File System (CLFS) для кражи системных токенов и повышения привилегий.
- Использовали сценарий PowerShell для идентификации и поиска учетных записей служб для получения связанных с ними билетов Active Directory Kerberos. Затем участники собирали и взламывали билеты Kerberos в автономном режиме с помощью Kerberoasting.
- Использовали инструмент под названием KerberCache для извлечения кэшированных билетов Kerberos из памяти сервера локального управления безопасностью - службы (LSASS) хоста.
- Использовал инструмент для эксплуатации CVE-2020-1472 (также известного как "ZeroLogon") для получения привилегий администратора домена. Этот инструмент и попытки вторжения с его помощью, по сообщениям, связаны с Hancitor и Qbot.
Indicators of Compromise
IPv4
- 103.114.163.197
- 103.27.203.197
- 104.217.8.100
- 108.170.31.115
- 128.31.0.34
- 128.31.0.39
- 141.98.87.124
- 144.172.83.13
- 149.255.35.131
- 159.203.70.39
- 185.153.199.169
- 192.137.100.96
- 192.137.100.98
- 192.137.101.205
- 192.137.101.46
- 193.34.167.17
- 195.54.160.149
- 209.76.253.84
- 212.192.241.230
- 213.32.39.43
- 216.45.55.3
- 216.45.55.30
- 217.79.43.148
- 222.252.53.33
- 23.227.198.246
- 31.184.192.44
- 37.120.247.39
- 37.44.253.21
- 38.108.119.121
- 45.164.21.13
- 45.32.229.66
- 45.86.162.34
- 45.91.83.176
- 64.235.39.82
- 64.52.169.174
- 79.141.169.220
- 84.17.52.135
- 92.222.172.172
- 92.222.172.39
- 94.103.9.79
Emails
- admin@cuba-supp.com
- admin@encryption-support.com
- cuba_support@exploit.im
- inbox@mail.supports24.net
MD5
- 03c835b684b21ded9a4ab285e4f686a3
- 236f5de8620a6255f9003d054f08574b
- 4c32ef0836a0af7025e97c6253054bca
SHA1
- 241ce8af441db2d61f3eb7852f434642739a6cc3
- 9b546bd99272cf4689194d698c830a2510194722
- eaced2fcfdcbf3dca4dd77333aaab055345f3ab4
SHA256
- 01242b35b6def71e42cc985e97d618e2fabd616b16d23f7081d575364d09ca74
- 02a733920c7e69469164316e3e96850d55fca9f5f9d19a241fad906466ec8ae8
- 08eb4366fc0722696edb03981f00778701266a2e57c40cd2e9d765bf8b0a34d0
- 0afed8d1b7c36008de188c20d7f0e2283251a174261547aab7fb56e31d767666
- 0c2ffed470e954d2bf22807ba52c1ffd1ecce15779c0afdf15c292e3444cf674
- 0cf6399db55d40bc790a399c6bbded375f5a278dc57a143e4b21ea3f402f551f
- 0d5e3483299242bf504bd3780487f66f2ec4f48a7b38baa6c6bc8ba16e4fb605
- 0f385cc69a93abeaf84994e7887cb173e889d309a515b55b2205805bdfe468a3
- 10a5612044599128981cb41d71d7390c15e7a2a0c2848ad751c3da1cbec510a2
- 1807549af1c8fdc5b04c564f4026e41790c554f339514d326f8b55cb7b9b4f79
- 1817cc163482eb21308adbd43fb6be57fcb5ff11fd74b344469190bb48d8163b
- 1b943afac4f476d523310b8e3afe7bca761b8cbaa9ea2b9f01237ca4652fc834
- 1f842f84750048bb44843c277edeaa8469697e97c4dbf8dc571ec552266bec9f
- 2eb3ef8a7a2c498e87f3820510752043b20cbe35b0cbd9af3f69e8b8fe482676
- 310afba59ab8e1bda3ef750a64bf39133e15c89e8c7cf4ac65ee463b26b136ba
- 3a8b7c1fe9bd9451c0a51e4122605efc98e7e4e13ed117139a13e4749e211ed0
- 3d4502066a338e19df58aa4936c37427feecce9ab8d43abff4a7367643ae39ce
- 4306c5d152cdd86f3506f91633ef3ae7d8cf0dd25f3e37bec43423c4742f4c42
- 571f8db67d463ae80098edc7a1a0cad59153ce6592e42d370a45df46f18a4ad8
- 61971d3cbf88d6658e5209de443e212100afc8f033057d9a4e79000f6f0f7cc4
- 74fbf3cc44dd070bd5cb87ca2eed03e1bbeec4fec644a25621052f0a73abbe84
- 7e00bfb622072f53733074795ab581cf6d1a8b4fc269a50919dda6350209913c
- 857f28b8fe31cf5db6d45d909547b151a66532951f26cda5f3320d2d4461b583
- 88d13669a994d2e04ec0a9940f07ab8aab8563eb845a9c13f2b0fec497df5b17
- 8a3d71c668574ad6e7406d3227ba5adc5a230dd3057edddc4d0ec5f8134d76c3
- 8e64bacaf40110547b334eadcb0792bdc891d7ae298fbfff1367125797b6036b
- 952b34f6370294c5a0bb122febfaa80612fef1f32eddd48a3d0556c4286b7474
- 9aa1f37517458d635eae4f9b43cb4770880ea0ee171e7e4ad155bbdee0cbe732
- a7c207b9b83648f69d6387780b1168e2f1eabd23ae6e162dd700ae8112f8b96c
- af4523186fe4a5e2833bbbe14939d8c3bd352a47a2f77592d8adcb569621ce02
- b160bd46b6efc6d79bfb76cf3eeacca2300050248969decba139e9e1cbeebf53
- b5d202456ac2ce7d1285b9c0e2e5b7ddc03da1cbca51b5da98d9ad72e7f773b8
- b9afe016dbdba389000b01ce7645e7eea1b0a50827cded1cbaa48fbc715197bb
- bd270853db17f94c2b8e4bd9fa089756a147ed45cbc44d6c2b0c78f361978906
- bff4dd37febd5465e0091d9ea68006be475c0191bd8c7a79a44fbf4b99544ef1
- c646199a9799b6158de419b1b7e36b46c7b7413d6c35bfffaeaa8700b2dcc427
- db3b1f224aec1a7c58946d819d729d0903751d1867113aae5cca87e38c653cf4
- e0d89c88378dcb1b6c9ce2d2820f8d773613402998b8dcdb024858010dec72ed
- ecefd9bb8b3783a81ab934b44eb3d84df5e58f0289f089ef6760264352cf878a
- f1103e627311e73d5f29e877243e7ca203292f9419303c661aec57745eb4f26c
- f538b035c3de87f9f8294bec272c1182f90832a4e86db1e47cbb1ab26c9f3a0b
- f5db51115fa0c910262828d0943171d640b4748e51c9a140d06ea81ae6ea1710
- f8144fa96c036a8204c7bc285e295f9cd2d1deb0379e39ee8a8414531104dc4a
- f869e8fbd8aa1f037ad862cf6e8bbbf797ff49556fb100f2197be4ee196a89ae
- fd87ca28899823b37b2c239fbbd236c555bcab7768d67203f86d37ede19dd975