Cục điều tra Liên bang Mỹ (FBI) cho biết mã độc này đang nhắm mục tiêu vào các doanh nghiệp trong lĩnh vực tài chính, chính phủ, y tế, sản xuất và công nghệ thông tin, chủ yếu tại Mỹ. Nhóm sử dụng phần mềm độc hại Hancitor để xâm nhập vào hệ thống chạy Windowsꦬ. Việc xác định nguồn gốc được FBI thực hiện sau khi giải mã các tệp mã hóa, trong đó phần mở rộng với tên miền chứa đuôi ".cuba".
⛎"Hacker sử dụng email lừa đảo, kết hợp lỗ hổng Microsoft Exchange, thông tin đăng nhập bị xâm phạm hoặc các công cụ về giao thức điều khiển máy tính từ xa (RDP) hợp pháp để giành quyền truy cập vào mạng của nạn nhân và phát tán phần mềm tống tiền", đại diện FBI nói. "Sau đó, Hancitor lợi dụng những dịch vụ Windows hợp pháp, như PowerShell và PsExec để leo thang đặc quyền, chiếm quyền quản trị và thực thi ransomware từ xa".
♊Bên cạnh đó, FBI còn phát hiện một phần mềm độc hại khác có tên MimiKatz chuyên lấy cắp thông tin đăng nhập, sau đó sử dụng RDP để vào máy chủ mạng của nạn nhân. Hacker sẽ mã hóa toàn bộ dữ liệu và yêu cầu tiền chuộc. Tổng số tiền kẻ tấn công đã đòi lên đến 74 triệu USD, trong đó được cho là đã thu về 43,9 triệu USD từ nạn nhân.
🗹Mặc dù nhóm sử dụng tên Cuba, một số nhà nghiên cứu bảo mật Israel cho rằng băng đảng ransomware có thể không có trụ sở tại đây.
💧Trong khi đó, phía Cuba chưa có phản hồi gì về thông tin của FBI.
𝔉Hồi tháng 4, hãng bảo mật McAfee cũng đề cập đến một số nhóm hacker được cho là từ Cuba đã tồn tại nhiều năm, nhưng mới được phát hiện có tần suất tấn công dày hơn vào mục tiêu là các công ty ở Mỹ, Nam Mỹ và châu Âu.
﷽"Việc FBI khẳng định hacker kiếm được 43,9 triệu USD cho thấy các cuộc tấn công bằng mã độc tống tiền tiếp tục mang lại lợi nhuận rất lớn, do đó, chúng sẽ không giảm đi trong tương lai", Allan Liska, chuyên gia về ransomware của Recorded Future, cho biết.
Bảo Lâm (theo Zdnet)