执行摘要 

古巴勒索软件是一种较早的勒索软件,最近已经有了一些发展。 已纳入了泄漏荷兰国际集团的受害者的数据,以增加其影响力和收入,就像我们已经与最近看到 其他主要的勒索活动。  

在我们的分析中,我们观察到攻击者在感染之前可以访问网络,并且能够收集特定信息以编排攻击并产生最大的影响。攻击者使用一组PowerShell脚本进行操作 ,使它们 能够横向移动。该赎金提到,在数据被exfiltrated 它是 加密版。在类似的攻击š  ,我们 已经 观察到使用 一个 钴打击的有效载荷, 虽然我们 还 没有 找到 明确的证据 的 一个 关系,船舶与古巴 RAnsomware。 

我们观察到了针对金融机构,行业,技术和物流组织的古巴勒索软件 。  

承保范围和保护建议 

维护者应该是在寻找跟踪和行为关联到 开源 笔测试工具,如 winPEAS ,  Lazagne ,警犬和Sharp猎犬,或黑客框架,如钴打击,Metasploit的,帝国或公约,以及异常 行为 的非具有双重用途的恶意工具。这些看似合法的工具(例如 ADfind ,  PSExec ,PowerShell等)可用于枚举和执行。随后,请注意Windows Management Instrumentation WMIC(T1047)的异常使用。

通过查看其他类似的勒索软件即服务系列,我们已经看到某些进入媒介在勒索软件罪犯中非常普遍: 

  • 电子邮件 矛式网络钓鱼 (T1566.001)通常用于直接参与和/或获得最初的立足点。最初的网络钓鱼电子邮件也可以链接到其他恶意软件毒株,该恶意软件毒株充当攻击者的加载程序和入口点,以继续完全破坏受害者的网络。我们过去曾在Trickbot 和Ryuk或 Qakbot 和 Prolock等公司中观察到过这种情况 。   
  • 漏洞利用公共应用(T1190)是另一个常见的进入媒介,因为网络罪犯经常是安全新闻的狂热用户,并且一直在寻找好的漏洞利用方法。因此,我们鼓励组织在应用补丁程序时保持勤快和勤奋。过去有许多示例,其中涉及远程访问软件,Web服务器,网络边缘设备和防火墙的漏洞已用作入口点。  
  • 使用有效帐户(T1078)已经并且已经成为网络犯罪分子站稳脚跟的行之有效的方法。毕竟,如果您已经有了钥匙,为什么要把门关掉?受保护程度不强的RDP访问是此输入方法的主要示例。
  • 有效的帐户,也可以通过大宗商品等恶意获得 infostealers  ,旨在窃取受害者的计算机凭据。  勒索软件犯罪分子可以购买包含数千个凭据的Infostealer日志,以搜索VPN和公司登录信息。对于组织而言,绝对必须具有可靠的凭据管理和用户帐户MFA。  

当涉及到实际的 Ransomware 二进制,我们强烈建议升级换代 端点防护,以及像篡改保护和回滚激活选项。

威胁摘要 

  • 古巴勒索软件 是 目前打击的几家公司在 北部和南部 一个merica , 以及在欧洲。  
  • 攻击者使用 一组混淆的PowerShell脚本横向移动并部署攻击。  
  • 该网站最近已在网上公开,以窃取被盗数据。  
  • 该恶意软件被混淆,并具有多种规避技术。  
  • 卖掉了一些偷来的数据。  
  • 勒索软件使用多个参数选项,并且可以使用NetShareEnum  API查找共享资源 。