根据最近的一份联合网络安全咨询（CSA）#StopRansomware，来自CISA和FBI的警告说，Cube勒索软件团伙已经攻击了全球100多个组织，并已经收到了超过6000万美元的赎金。最新的CSA警告说，被Cube勒索软件团伙攻击的安全事件和企业网络安全咨询的数量激增。

根据警告，Cube勒索软件攻击的目标是医疗保健、关键基础设施、金融服务、政府服务等机构。CSA说，尽管该团伙使用了这个名字，其实该团伙与古巴这个国家没有任何关联。联邦调查局警告说，该勒索软件团伙已经攻击了全球100多个目标，并要求支付超过1.45亿美元的赎金，现在已经得到了6000万美元的勒索款项。

联邦调查局和CISA的最新发现

联邦调查局已经发现，Cube勒索软件行为者所攻击的美国实体的数量和所要求的赎金数额都在急剧增加。

自2022年春季以来，Cube勒索软件攻击者扩大了他们的TTPs。

第三方组织和开源报告已经确定Cube勒索软件攻击者、RomCom远程访问木马（RAT）行为者和工业间谍勒索软件攻击者之间可能存在联系。

该组织习惯使用双重勒索攻击，他们不仅会加密数据而且还要求支付赎金，并且还威胁说如果目标不支付赎金（要求以比特币支付），就会泄露从被害者那里偷来的数据。

攻击者使用最新的勒索软件技术这是CISA和FBI对Cube勒索软件的第二次警告，第一次是在2021年12月。最近发警告的原因是因为网络攻击的数量突然增加，也因为攻击者增加了攻击的复杂性，使其无法被发现和难以阻止。

这些技术包括滥用Windows通用日志文件系统（CLFS）驱动程序（CVE-2022-24521）中的一个漏洞，该漏洞允许攻击者检索系统令牌以及启用权限，同时部署PowerShell脚本，找出服务账户，以便更好地访问高级系统控制。

攻击背后的Cube勒索软件

安全研究员发现Cube勒索软件也会攻击Zerologon，这是微软Windows认证协议Netlogon（CVE-2020-1472）的一个漏洞，利用该漏洞可以获得域管理权限。Zerologon是在2020年9月被发现的，当时被认为是有 ”极大的风险”，然而，两年后，威胁者仍然能够滥用它。

Cube勒索软件用来获得受害者系统访问权限的技术包括利用商业软件的已知漏洞、网络钓鱼活动、利用被盗的用户数据和密码，以及滥用远程桌面协议（RDP）应用程序。

一旦攻击者获得了访问权限，他就会安装Hancitor，这是一种恶意软件的有效载荷，可以让他轻松地重新获得访问权，并在被利用的网络上发起攻击，最后再用于投放和启动勒索软件的有效载荷。

联邦调查局和CISA鼓励网络防御者联合CSA，并尽可能去应用更多的缓解措施。

参考及来源：

https://www.cysecurity.news/2022/12/fbi-cisa-alert-ransomware-gang-attacked.html