2020年底,出版商電腦安全研究人員防毒軟體卡巴斯基發現了一個專門從事勒索軟體攻擊的新團夥——古巴。然而,在成立初期,這個俄語幫自稱「熱帶天蠍座」。請注意,該組織也以假名 Fidel(菲德爾·卡斯特羅)、ColdDraw 或 V for Vendetta(古巴獨裁者菲德爾·卡斯特羅)而聞名。
為了獲利,古巴駭客攻擊石油公司、金融服務、政府機構和醫療保健提供者,主要是在美國、加拿大和歐洲。為了將病毒滲透到目標電腦上,駭客主要利用安全漏洞已知軟體。
另請閱讀:8Base 駭客製造混亂
古巴的作案手法
一旦到達計算機,勒索軟體就會加密所有資料。毫不奇怪,他們會很快要求加密貨幣贖金以換取解密金鑰。不幸的是,網路犯罪分子並沒有就此止步。他們依靠一種稱為「雙重勒索」的策略。這涉及在加密之前竊取敏感數據,這可能會破壞業務。駭客主要尋找財務數據,例如銀行對帳單,甚至原始碼。然後詐騙者威脅受害者將其公開。這對於受到駭客壓力的目標公司來說是雙重懲罰。
透過這種在犯罪界非常普遍的策略,古巴勒索了 3,600 多個比特幣,即超過1.3億美元,自從他們第一次襲擊以來。為了逃避當局,駭客使用大量不同的區塊鏈位址加密貨幣混合器。這些也稱為混合器,使加密資產交易(幾乎)完全匿名。
為了實現利潤最大化,古巴也向初露頭角的犯罪分子提供勒索軟體。為了換取部分收入,駭客可以使用惡意軟體的基礎設施和程式碼來策劃攻擊。作為暗門古巴是著名的RaaS(勒索軟體即服務)趨勢的一部分,這種趨勢伴隨著駭客的爆炸性增長。
古巴海盜的新武器
去年 12 月,卡巴斯基意識到古巴正在利用複雜的後門,標題為巴哈奇。研究人員首先在客戶的伺服器上發現了三個可疑檔案。這些檔案導致 komar65 庫被載入到伺服器上。 Mandiant 公司的研究人員將此稱為 Bughatch,他們已經調查過類似事件。請注意,「komar」在俄語中的意思是「蚊子」。
這個隱藏在進程記憶體中的後門將藉助Windows應用程式在分配的記憶體空間中執行一段shellcode,也就是惡意程式碼片段。然後該軟體連接到遠端命令和控制伺服器。透過伺服器,駭客可以命令安裝病毒例如 Cobalt Strike Beacon(一種廣泛傳播的間諜軟體)或 Metasploit(一種允許利用電腦系統漏洞的框架)。在此過程中,駭客安裝的某些模組會收集目標系統的資訊。
根據卡巴斯基, 古巴有相當大的豐富了它的武器庫透過利用一系列新工具,包括以新形式出現的 Bughatch 或 Burntcigar 惡意軟體。調查人員確實發現了源自古巴的新惡意軟體樣本。對卡巴斯基來說,該集團“保持活力並不斷完善你的技術”。
來源 : 卡巴斯基
