Компания Trend Micro отмечает возрождение активности вымогательского ПО Cuba в марте и апреле 2022 года. Она включала новый вариант, содержащий обновления бинарного файла - в частности, его загрузчика, - которые, как считается, повышают эффективность, минимизируют нежелательное поведение системы и даже предоставляют жертвам техническую поддержку в случае переговоров.
Cuba ransomware имеет обширную инфраструктуру и использует в своем арсенале множество инструментов. Среди них такие утилиты Windows, как Remote Desktop Protocol (RDP), Server Message Block (SMB) и PsExec, которые он комбинирует с такими популярными инструментами, как Cobalt Strike (для латерального перемещения и C&C коммуникаций) и Mimikatz (для сброса учетных данных).
Он также использует несколько уязвимостей в процессе заражения. Например, он использует уязвимости ProxyShell и ProxyLogon для первоначального доступа, а также использует уязвимость драйвера Avast (C:\windows\temp\aswArPot.sys) как часть процедуры отключения антивируса.
Обратите внимание, что, несмотря на свое название, Cuba ransomware, по-видимому, происходит из России, о чем свидетельствует ее процедура завершения работы при обнаружении в системе русской раскладки клавиатуры или языка.
Indicators of Compromise
IPv4
- 185.153.199.164
- 190.114.254.116
- 23.227.197.229
- 45.32.229.66
SHA1
- 0a3ac9b182d8f14d9bc368d0c923270eed29b950
- 0d0ac944b9c4589a998b5032d208a16e63db5817
- 172f28f61a35716762169d63f207071adf21a54c
- 209ffbc8ba1e93167bca9b67e0ad3561c065595d
- 363dc3cf956ab2a7188cf0e44bffd9fba766097d
- 39381976485fbe4719e4585f082a5252feedbcfd
- 3ead9dd8c31d8cfb6cc53e96ec37bdcfdbbcce78
- 49cfcecd50fcfcd3961b9d3f8fa896212b7a9527
- 4f3a1e917f67293578b7e823bca35c4dff923386
- 4f6ee84f59984ff11147bfff67ab6e40cd7c8525
- 55b89bad1765bbf97158070fd5cbf9ea7d449e2a
- 6da8a4a32a4410742f626376cbec38986d307d5a
- 7c88207ff1afe8674ba32bc20b597d833d8b594a
- 7ef1f5946b25f56a97e824602c58076e4b1c10b6
- 8247880a1bad73caaeed25f670fc3dad1be0954a
- 82f194e6baeef6eefb42f0685c49c1e6143ec850
- 8fec34209f79debcd9c03e6a3015a8e3d26336bb
- 922ca12c04b064b35fd01daadf5266b8a2764c32
- a304497ff076348e098310f530779002a326c264
- b73763c98523e544c0ce0da7db7142f1e039c0a2
- d0bbbc1866062f9a772776be6b7ef135d6c5e002
- d1ef60835127e35154a04d0c7f65beee6e790e44
- d9030bdbd0cb451788eaa176a032aa83cf7604c0
- e328b5e26a04a13e80e60b4a0405512c99ddb74e
- e6ea0765b9a8cd255d587b92b2a80f96fab95f15
- ee883ec4b7b7c1eba7200ee2f9f3678f67257217
- f008e568c313b6f41406658a77313f89df07017e
- f1be87ee03a2fb59d51cb4ba1fe2ece8ddfb5192
- f347fa07f13c3809e4d2d390e1d16ff91f6dc959
- fd4c478f1561db6a9a0d7753741486b9075986d0