2020年底,出版商计算机安全研究人员防病毒软件卡巴斯基发现了一个专门从事勒索软件攻击的新团伙——古巴。然而,在成立初期,这个俄语帮派自称“热带天蝎座”。请注意,该组织也以假名 Fidel(菲德尔·卡斯特罗)、ColdDraw 或 V for Vendetta(古巴独裁者菲德尔·卡斯特罗)而闻名。
为了盈利,古巴黑客攻击石油公司、金融服务、政府机构和医疗保健提供商,主要是在美国、加拿大和欧洲。为了将病毒渗透到目标计算机上,黑客主要利用安全漏洞已知软件。
另请阅读:8Base 黑客制造混乱
古巴的作案手法
一旦到达计算机,勒索软件就会加密所有数据。毫不奇怪,他们会很快要求加密货币赎金以换取解密密钥。不幸的是,网络犯罪分子并没有就此止步。他们依靠一种称为“双重勒索”的策略。这涉及在加密之前窃取敏感数据,这可能会破坏业务。黑客主要寻找财务数据,例如银行对账单,甚至源代码。然后诈骗者威胁受害者将其公开。这对于受到黑客压力的目标公司来说是双重惩罚。
通过这种在犯罪界非常普遍的策略,古巴勒索了 3,600 多个比特币,即超过1.3亿美元,自从他们第一次袭击以来。为了逃避当局,黑客使用大量不同的区块链地址加密货币混合器。这些也称为混合器,使加密资产交易(几乎)完全匿名。
为了实现利润最大化,古巴还向新晋犯罪分子提供勒索软件。为了换取部分收入,黑客可以使用恶意软件的基础设施和代码来策划攻击。作为暗门古巴是著名的RaaS(勒索软件即服务)趋势的一部分,这种趋势伴随着黑客的爆炸式增长。
古巴海盗的新武器
去年 12 月,卡巴斯基意识到古巴正在利用复杂的后门,标题为巴哈奇。研究人员首先在客户的服务器上发现了三个可疑文件。这些文件导致 komar65 库被加载到服务器上。 Mandiant 公司的研究人员将此称为 Bughatch,他们已经调查过类似事件。请注意,“komar”在俄语中的意思是“蚊子”。
这个隐藏在进程内存中的后门将借助Windows应用程序在分配的内存空间中执行一段shellcode,即恶意代码片段。然后该软件连接到远程命令和控制服务器。通过服务器,黑客可以命令安装病毒例如 Cobalt Strike Beacon(一种广泛传播的间谍软件)或 Metasploit(一种允许利用计算机系统漏洞的框架)。在此过程中,黑客安装的某些模块会收集目标系统的信息。
根据卡巴斯基, 古巴有相当大的丰富了它的武器库通过利用一系列新工具,包括以新形式出现的 Bughatch 或 Burntcigar 恶意软件。调查人员确实发现了源自古巴的新恶意软件样本。对于卡巴斯基来说,该集团“保持活力并不断完善你的技术”。
来源 : 卡巴斯基
