勒索軟體Cuba攻擊美國49個重大基礎設施

美國聯邦調查局（FBI）上周警告，勒索軟體Cuba成功入侵了美國重大基礎設施的49個實體，駭客向受害者總計勒索了7,400萬美元，而不法所得則至少有4,390萬美元。

這是FBI截至今年11月初的統計，指出受害領域橫跨金融、政府、健康醫療、製造與資訊科技，主要是透過Hancitor惡意程式散布，Hancitor先行利用網釣郵件、Microsoft Exchange安全漏洞、盜來/買來的憑證或合法的RDP工具進駐受害者電腦，再下載包括遠端存取木馬與勒索軟體等惡意程式。

接著駭客就會利用諸如PowerShell或PsExec等合法的Windows服務，自遠端透過Windows的管理權限來執行勒索軟體或其它程序，將受害者的系統及網路加密，遭到加密的檔案副檔名為.cuba。

根據資安業者McAfee的研究報告，Cuba現身於2019年年底，受害者遍布美洲與歐洲，利用PowerShell腳本程式於受害系統中橫向移動並部署攻擊，也具備許多防偵測技術，而且駭客還會對外出售所盜來的資料。

圖片來源_McAfee

FBI則公布了受到Cuba勒索軟體駭客集團入侵的指標，與該集團所使用的電子郵件帳號、IP位址、比特幣錢包與勒索信等，也建議各組織應要求所有帳號都必須以密碼登入、採用多因素認證、即時更新軟體、移除不必要的遠端管理分享，以及採用基於主機的防火牆。

此外，為了避免駭客於受害系統中流竄，各大組織也應隔離重要網路，部署網路監控工具，限制管理權限的使用時間，關閉命令列，維護離線備份資料，以及確保所有離線資料是免疫的。