Ostrzeżenia przed nową grupą hakerów przeprowadzającą groźne ataki ransomware

FBI i CISA wydały komunikat ostrzegający użytkowników internetu przed hakerami przeprowadzającymi ataki ransomware, którzy wykorzystuje stare, niezałatane luki w oprogramowaniu, uzyskując w ten sposób dostęp do sieci i zagnieżdżając w systemie IT szkodliwe oprogramowanie.

Grafika: Jack Moreh//freerangestock

Hakerzy z grupy Cuba zaatakowali ostatnio ponad 100 systemów IT a całym świecie i zażądali zapłacenia im okupów o wartości ponad 145 mln, inkasując jak dotąd ok. 60 mln USD, ostrzega CISA i FBI. Wbrew nazwie, hakerzy nie są w żaden sposób powiązani z Kubą. Grupa atakuje głównie infrastrukturę krytyczną, usługi finansowe, szpitale i przychodnie oraz instytucje rządowe. Grupa przeprowadza zazwyczaj tzw. podwójne ataki co oznacza, że nie tylko szyfruje dane i żąda w Bitcoinach okupu za ich odszyfrowanie, ale także grozi iż w przypadku nie spełnienia takiego żądania, opublikuje dane w sieci.

Wspólny komunikat CISA i FBI jest następstwem poprzedniego ostrzeżenia dotyczącego działalności grupy Cuba z końca 2021 roku. Nowy alert został wydany z powodu wzrostu liczby ataków oraz dlatego, że cyberprzestępcy rozszerzyli swoje techniki, tak iż ich ataki są trudniejsze do wykrycia, a tym samym bardziej skuteczne. Komunikat wskazuje też na luki, które hakerzy wykorzystują. Najważniejsze z nich są oznaczone numerami CVE-2022-24521 i CVE-2020-1472 w celu uzyskania uprawnień administratora domeny. Po uzyskaniu dostępu do systemu, cyberprzestępcy wdrażają złośliwe oprogramowanie Hancitor, które pozwala im przeprowadzać właściwy atak, czyli uruchamiać moduł ransomware.

Zobacz również:

  • EY: transformacja cyfrowa wciąż priorytetem dla firm
  • Hakerzy włamali się do Europolu
  • Polskie firmy pod ostrzałem oprogramowania ransomware

Komunikat wymienia kilka rad, które należy zastosować celem zapobieżenia takim atakom. Kluczowe zalecenie jest jak zwykle prozaiczne, czyli nawołuje do aktualizowania na bieżąco wszystkich systemów operacyjnych, aplikacji, oprogramowania firmware. Terminowe łatanie jest jednym z najbardziej wydajnych i opłacalnych kroków, jakie organizacja może podjąć, aby zminimalizować takie zagrożenia. Zaleca się również, aby firmy opracowały przejrzyste procedury identyfikowania, wykrywania i badania podejrzanej aktywności w sieci, co może wskazywać na to, że została ona zaatakowana. FBI i CISA nie zachęcają do płacenia okupu, ponieważ zapłata nie gwarantuje wcale odzyskania skradzionych danych. Ponadto płatność może również ośmielić hakerów do atakowania kolejnych ofiar oraz zachęcać inne grupy przestępcze do angażowania się w dystrybucję oprogramowania ransomware.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200