美國資安業者Mandiant本周指出,Cuba勒索軟體集團UNC2596最近經常藉由開採Microsoft Exchange安全漏洞的途徑發動攻擊,且經常鎖定公用事業單位、政府組織,或是支持非營利組織與健康照護機構的特定組織,並有8成的受害者位於北美。

事實上,美國聯邦調查局(FBI)去年12月就曾針對Cuba勒索軟體提出警告,指出Cuba已成功入侵美國重大基礎設施的49個實體,且駭客成功得手了4,390萬美元的贖金。

Mandiant則公布了更多有關Cuba勒索軟體的細節,包括迄今唯一使用Cuba勒索軟體的駭客集團為UNC2596;主要鎖定美國與加拿大的組織,北美受害者就占了8成;並不攻擊提供緊急照護的醫院或組織;以及入侵受害者組織的方法從垃圾郵件、惡意程式逐漸轉為開採安全漏洞。

研究人員指出,UNC2596使用了許多公開與私有的工具,最近最常見的攻擊途徑是開採Microsoft Exchange的安全漏洞,諸如ProxyShellProxyLogon等,該駭客集團會先偵查公開網路上含有漏洞的Microsoft Exchange系統,成功入侵之後再部署後門程式,接著使用也許是駭來或是買來的憑證於受害組織內部活動,企圖擴張權限並偵查可加密的目標,最後才執行Cuba勒索軟體。

此外,Mandiant也發現有愈來愈多的勒索軟體駭客集團,選擇開採安全漏洞作為入侵受害組織的第一步,涵蓋UNC2596、UNC2447與 FIN11等,除了因為可利用的公開漏洞逐年增加之外,透過此一方法的滲透成功率也高於惡意郵件。

Mandiant並未揭露UNC2596的背景,坊間亦無其它有關UNC2596駭客集團的說明,或許是Mandiant尚無法確定UNC2596的來源,也有可能是Mandiant使用了不同的名稱。資安業者目前對於勒索軟體、惡意軟體或駭客集團的命名並無統一的標準,例如Mandiant將Cuba勒索軟體稱為Colddraw,把FBI所發現用來作為Cuba勒索軟體入侵前鋒的惡意程式Hancitor稱為Chanitor。

熱門新聞

Advertisement