ΑρχικήsecurityΕπιθέσεις Cuba ransomware σε κρίσιμα δίκτυα της Ουκρανίας

Επιθέσεις Cuba ransomware σε κρίσιμα δίκτυα της Ουκρανίας

Το Computer Emergency Response Team της Ουκρανίας (CERT-UA) εξέδωσε προειδοποίηση, προειδοποιώντας για πιθανές επιθέσεις Cuba Ransomware σε κρίσιμα δίκτυα της χώρας.

Στις 21 Οκτωβρίου, η CERT-UA παρατήρησε ένα νέο κύμα ηλεκτρονικών μηνυμάτων ηλεκτρονικού “ψαρέματος” που παρίσταναν την Υπηρεσία Τύπου του Γενικού Επιτελείου των Ενόπλων Δυνάμεων της Ουκρανίας. Το μήνυμα ηλεκτρονικού ταχυδρομείου προέτρεπε τους παραλήπτες να κάνουν κλικ σε έναν ενσωματωμένο σύνδεσμο, ο οποίος τους οδηγούσε σε μια ιστοσελίδα τρίτου μέρους όπου υποτίθεται ότι έπρεπε να κατεβάσουν ένα έγγραφο με την ονομασία “Наказ_309.pdf”. Ωστόσο, αντ’ αυτού, είδαν μια ψεύτικη ειδοποίηση που ανέφερε ότι το λογισμικό ανάγνωσης αρχείων PDF έπρεπε πρώτα να γίνει update.

Δείτε επίσης: Η Apple διορθώνει νέα zero-day ευπάθεια σε iPhones και iPad

Στη συνέχεια, ο ιστότοπος διαθέτει ένα κουμπί “DOWNLOAD”, το οποίο όταν πατηθεί από τον χρήστη οδηγεί στη λήψη ενός εκτελέσιμου αρχείου (“AcroRdrDCx642200120169_uk_UA.exe”) που μοιάζει με το πρόγραμμα εγκατάστασης του Acrobat Reader.

Δείτε επίσης: Black Reward: Κλέψαμε χιλιάδες email από την Ιρανική Υπηρεσία Ατομικής Ενέργειας

Ωστόσο, η εκτέλεση αυτού του αρχείου θα εγκαταστήσει και θα εκτελέσει το αρχείο DLL “rmtpak.dll”, το οποίο είναι το κακόβουλο λογισμικό του Cuba Ransomware γνωστό ως “ROMCOM RAT”.

Οι ερευνητές της Palo Alto Networks ανακάλυψαν το ROMCOM Ransomware τον Αύγουστο του 2022, το οποίο διαχειρίζεται μια ομάδα που συνεργάζεται με το Cuba ransomware που ονομάζεται “Tropical Scorpius”.

Αυτό το κακόβουλο λογισμικό δίνει στους χάκερ δυνατότητες host, ώστε να μπορούν να έχουν πρόσβαση και να κλέβουν δεδομένα από τη συσκευή σας, να δημιουργούν spoofed διεργασίες, καθώς και να ξεκινούν reverse shells.

Η CERT-UA λέει στην ανακοίνωση της: “Λαμβάνοντας υπόψη τη χρήση του RomCom backdoor, καθώς και άλλα χαρακτηριστικά των σχετικών αρχείων, πιστεύουμε ότι είναι δυνατό να συσχετίσουμε την ανιχνευθείσα δραστηριότητα με τη δραστηριότητα του απειλητικού παράγοντα Tropical Scorpius (Unit42) γνωστού και ως UNC2596 (Mandiant). Αυτή η ομάδα είναι γνωστή για τη διανομή του Cuba Ransomware”.

Η BlackBerry δημοσίευσε χθες άλλη μια έκθεση που εξηγεί περισσότερες λεπτομέρειες σχετικά με τη χρήση του ROMCOM εναντίον στρατιωτικών ιδρυμάτων στην Ουκρανία. Στην έκθεση αναφέρεται ότι το κακόβουλο εκτελέσιμο αρχείο που χρησιμοποιείται σε αυτές τις επιθέσεις υπογράφεται με έγκυρο ψηφιακό πιστοποιητικό.

Cuba ransomware

Η εταιρεία BlackBerry απαρίθμησε και άλλα έθνη-θύματα του malware, τα οποία είναι οι Φιλιππίνες, η Βραζιλία και οι Ηνωμένες Πολιτείες.

Οι επιτιθέμενοι χρησιμοποιούν ένα ποικίλο σύνολο από ιστότοπους payload-dropping που παραποιούν νόμιμους ιστότοπους, όπως ο “Advanced IP Scanner”. Αξίζει να σημειωθεί ότι η έκθεση της BlackBerry δεν συνδέει το ROMCOM RAT με συγκεκριμένους απειλητικούς φορείς.

Δείτε επίσης: Η Interpol δημιούργησε μια παγκόσμια αστυνομία Metaverse

Τον Σεπτέμβριο του 2022, αποκαλύφθηκε ότι το Μαυροβούνιο είχε πληγεί από το Cuba Ransomware. Οι χάκερ απαίτησαν την καταβολή λύτρων ύψους 10.000.000 δολαρίων.

Παρόλο που η αρχική επίθεση είχε πολιτικά κίνητρα, το Cuba Ransomware δεν υποστήριξε καμία πολιτική ιδεολογία ούτε πήρε θέση στη σύγκρουση μεταξύ Ρωσίας και Ουκρανίας.

Πηγή πληροφοριών: bleepingcomputer.com

Teo Ehc
Teo Ehchttps://www.secnews.gr
Be the limited edition.

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS