Xakep #305. Многошаговые SQL-инъекции
Представители Федерального бюро расследований (ФБР) заявляют, что операторы программы-вымогателя Cuba заработали не менее 43,9 миллиона долларов в текущем году.
В экстренном предупреждении, опубликованном на днях, ФБР пишет, что группировка Cuba «скомпрометировала по меньшей мере 49 организаций в пяти важнейших инфраструктурных секторах, включая финансовый и государственный сектор, здравоохранение, производство и ИТ».
Правоохранители говорят, что отследили атаки Cuba на системы, зараженные вредоносом Hancitor, который использует фишинговые письма, эксплуатирует уязвимости в Microsoft Exchange, скомпрометированные учетные данные или брутфорсит RDP для доступа к уязвимым Windows-машинам. После заражения Hancitor, доступ к такой системе сдают в аренду другим хакерам по модели Malware-as-a-Service.
Хотя в прошлом году отчет компании McAfee, посвященный Cuba, не выявил связи между двумя группами, в документе ФБР сообщается, что теперь, видимо, возникло новое партнерство между поставщиком MaaS и вымогателями. В опубликованном документе ФБР рассказывается, как происходит типичное заражение Hancitor-to-Cuba и перечислены индикаторы компрометации.
Издание The Record пишет, что перед шифрованием данных пострадавших операторы Cuba похищают информацию, а затем угрожают опубликовать эти файлы на своем сайте в даркнете, если жертва не заплатит выкуп. Согласно данным, собранным аналитиками Recorded Future, на этом сайте перечислено уже 28 компаний, которые отказались платить.
ФБР заявило, что 43,9 миллиона долларов — это лишь фактические выплаты жертвам, но исходно хакеры требовали от пострадавших более 74 миллионов долларов, но некоторые отказались платить.