Các tác nhân đe dọa đằng sau phần mềm tống tiền Cuba (còn gọi là COLDDRAW) đã nhận được hơn 60 triệu đô la tiền chuộc và xâm phạm hơn 100 thực thể trên khắp thế giới kể từ tháng 8 năm 2022.
Trong một lời khuyên mới được chia sẻ bởi Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng Hoa Kỳ (CISA) và Cục Điều tra Liên bang (FBI), các cơ quan này đã nhấn mạnh “sự gia tăng mạnh cả về số lượng các thực thể Hoa Kỳ bị xâm nhập và số tiền chuộc.”
Nhóm ransomware, còn được gọi là Tropical Scorpius, đã được quan sát nhắm mục tiêu vào các dịch vụ tài chính, cơ sở chính phủ, chăm sóc sức khỏe, sản xuất quan trọng và các lĩnh vực CNTT, đồng thời mở rộng chiến thuật của mình để có quyền truy cập ban đầu và tương tác với các mạng bị vi phạm.
Điểm khởi đầu của các cuộc tấn công liên quan đến việc khai thác các lỗ hổng bảo mật đã biết, lừa đảo, thông tin đăng nhập bị xâm phạm và các công cụ giao thức máy tính từ xa (RDP) hợp pháp, sau đó phân phối ransomware qua Hancitor (còn gọi là Chanitor).
Một số lỗ hổng được Cuba tích hợp vào bộ công cụ của nó như sau –
CVE-2022-24521 (Điểm CVSS: 7,8) – Nâng cao lỗ hổng đặc quyền trong Trình điều khiển Hệ thống tệp nhật ký chung của Windows (CLFS)
CVE-2020-1472 (Điểm CVSS: 10,0) – Lỗ hổng đặc quyền nâng cao trong giao thức từ xa Netlogon (còn gọi là ZeroLogon)
“Ngoài việc triển khai ransomware, những kẻ tấn công đã sử dụng các kỹ thuật ‘tống tiền kép', trong đó chúng lọc dữ liệu nạn nhân và (1) yêu cầu thanh toán tiền chuộc để giải mã và (2) đe dọa sẽ tiết lộ công khai nếu khoản thanh toán tiền chuộc bị phát hiện không được thực hiện,” CISA lưu ý.
Cuba cũng được cho là chia sẻ liên kết với những kẻ điều hành RomCom RAT và một dòng ransomware khác có tên là Industrial Spy, theo những phát hiện gần đây từ Đơn vị 42 của BlackBerry và Palo Alto Networks.
Lời khuyên từ CISA và FBI là lời khuyên mới nhất trong một loạt cảnh báo về các chủng ransomware khác nhau trong những tháng gần đây như MedusaLocker, Zeppelin, Vice Society, Daixin Team và Hive.
