FBI與CISA發布Cuba Ransomware勒索軟體警報!

風險等級: 高度威脅
摘 要: 病毒通告:FBI與CISA發布Cuba Ransomware勒索軟體警報!
解決辦法: 建議應用以下措施降低Cuba Ransomware 勒索軟體危害的風險:
1.實施恢復計劃,以在物理上獨立、分段和安全的位置(即硬碟、儲存設備、雲端)中維護和保留敏感或專有數據和伺服器的多個備份。
2.所有使用密碼登錄的帳戶應符合管理密碼策略的標準:使用至少包含 8 個字符且不超過 64個字符的較長密碼、避免重複使用密碼、實施多次失敗的登錄嘗試帳戶鎖定、禁用密碼“提示”、避免要求更改密碼的頻率超過每年一次。
3.盡可能對所有服務進行多因子身分驗證
4.使所有操作系統、軟體和硬體保持最新版本
5.可讓網路分段以防止勒索軟體的傳播。
6.審查具有管理權限的帳戶,並根據最小權限原則調整訪問權限。
7.關閉未使用的Port
8.確保所有備份數據都是加密的、不可變的
細節描述: 美國聯邦調查局(FBI)與網路安全及基礎設施安全局(CISA)針對勒索軟體(Cuba Ransomware)發布最新聯合警報(Alert AA
22-335A),指出迄今古巴勒索軟體(Cuba Ransomware)已危害全球超過100個組織,向這些組織勒索逾1.45億美元,且實際收到了超過6,000萬美元的贖金,公布了古巴勒索軟體(Cuba Ransomware)的最新攻擊戰術流程(TTP)。

注意:雖然此勒索軟體被業界稱為“古巴勒索軟體(Cuba Ransomware)”,但沒有跡象表明古巴勒索軟體參與者與古巴共和國有任何聯繫或從屬關係。

CISA 及FBI透露古巴勒索軟體(Cuba Ransomware)攻擊者與 RomCom Remote Access Trojan 和Industrial Spy 勒索軟體等其他惡意工具的幕後黑手有關聯,並進一步指出自今年年初以來擴充其新的戰術、技術與流程(TTPs)來部署惡意軟體,古巴勒索軟體(Cuba Ransomware)用來進入組織的手法包括利用商業軟體的已知弱點、網路釣魚攻擊、憑證外洩,或者是合法的遠端桌面協定(RDP)工具,成功入侵組織後即開始藉由下載器Hancitor來散布Cuba Ransomware。然而,這兩個機構引用了 Palo Alto Networks的研究稱,自 2022 年 5 月以來,觀察到攻擊手法起了些變化,包括使用 ROMCOM RAT 惡意軟體、ZeroLogon弱點、本地權限提升的弱點利用和專門針對安全產品kernel driver的工具。

古巴勒索軟體(Cuba Ransomware)攻擊者擅長利用的弱點包括涉及Windows通用紀錄檔系統(Common Log File  System,CLFS)驅動程式的CVE-2022-24521,以及微軟在2020年執行多階段修補的Windows Netlogon弱點CVE-2020-1472。此外,駭客於組織內進行橫向移動時,也會利用各種工具來躲避偵測,包括終止安全產品。

參考資訊: US-CERT

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *