Le FBI identifie les IOC et les TTP des rançongiciels cubains

Accueil
Déc

Ransomware - FBI IOC rançongiciels cubains

Le FBI et la Cybersecurity and Infrastructure Security Agency (CISA) publient cette CSA conjointe pour diffuser les IOC et les TTP connus des rançongiciels cubains associés aux acteurs des rançongiciels cubains identifiés par les enquêtes du FBI, les rapports de tiers et les rapports open source. Cet avis met à jour le Flash du FBI de décembre 2021. Bien que ce ransomware soit connu par l’industrie sous le nom de « Cuba ransomware ».

Prendre note que rien n’indique que les acteurs du ransomware cubain aient un lien ou une affiliation avec la République de Cuba.

Depuis la publication du FBI Flash de décembre 2021, le nombre d’entités américaines compromises par Cuba ransomware a doublé, les rançons demandées et payées étant en augmentation.

Cette année, les acteurs du ransomware cubain ont ajouté à leurs TTP, et des rapports tiers et open source ont identifié un lien possible entre les acteurs du ransomware cubain, les acteurs du cheval de Troie d’accès à distance RomCom (RAT) et les acteurs du ransomware Industrial Spy.

Le FBI et la CISA encouragent les organisations à mettre en œuvre les recommandations de la section Atténuations de cette CSA afin de réduire la probabilité et l’impact du ransomware Cuba et d’autres opérations de ransomware.

Téléchargez la version PDF de ce rapport : pdf, 672 ko .

Détails techniques des IOC rançongiciels cubains

Aperçu

Depuis la publication de décembre 2021 de FBI Flash: Indicators of Compromise Associated with Cuba Ransomware , le FBI a observé des acteurs de ransomware cubains continuant de cibler des entités américaines dans les cinq secteurs d’infrastructure critiques suivants : services financiers, installations gouvernementales, soins de santé et santé publique, fabrication critique, et technologies de l’information. En août 2022, le FBI a identifié que les acteurs du rançongiciel cubain avaient :

101 entités compromises, 65 aux États-Unis et 36 en dehors des États-Unis.
A exigé 145 millions de dollars américains (USD) et reçu 60 millions USD en paiements de rançon.

Tactiques, techniques et procédures des acteurs de Cuba Ransomware

Comme indiqué précédemment par le FBI, les acteurs cubains des rançongiciels ont exploité les techniques suivantes pour obtenir un accès initial à des dizaines d’entités dans plusieurs secteurs d’infrastructures critiques :

Vulnérabilités connues dans les logiciels commerciaux.
Campagnes de phishing.
Identifiants compromis.
Outils légitimes de protocole de bureau à distance (RDP).

Après avoir obtenu un accès initial, les acteurs ont distribué le rançongiciel Cuba sur les systèmes compromis via Hancitor, un chargeur connu pour déposer ou exécuter des voleurs, tels que les chevaux de Troie d’accès à distance (RAT) et d’autres types de rançongiciels, sur les réseaux des victimes. Ce qui fait que de mettre en place ces découvertes du FBI au sujet des IOC des rançongiciels cubains est nécessaire pour une organisation.

Depuis le printemps 2022, les acteurs cubains des rançongiciels ont modifié leurs TTP et leurs outils pour interagir avec les réseaux compromis et extorquer des paiements aux victimes.

Les acteurs du rançongiciel cubain ont exploité des vulnérabilités et des faiblesses connues et ont utilisé des outils pour élever les privilèges sur les systèmes compromis. Selon l’unité 42 de Palo Alto Networks,[

Les acteurs du rançongiciel cubain ont :

dans Exploitation de CVE-2022-24521 le pilote Windows Common Log File System (CLFS) pour voler des jetons système et élever les privilèges.
Utilisation d’un script PowerShell pour identifier et cibler les comptes de service pour leur ticket Active Directory Kerberos associé. Les acteurs ont ensuite collecté et craqué les tickets Kerberos hors ligne via Kerberoasting.
Utilisation d’un outil, appelé KerberCache, pour extraire les tickets Kerberos mis en cache de la mémoire LSASS (Local Security Authority Server Service) d’un hôte.
Utilisation d’un outil pour exploiter CVE-2020-1472 (également connu sous le nom de « ZeroLogon ») pour obtenir des privilèges d’administrateur de domaine. Cet outil et ses tentatives d’intrusion auraient été liés à Hancitor et Qbot.

Selon l’unité 42 de Palo Alto Networks, les acteurs du ransomware Cuba utilisent des outils pour échapper à la détection tout en se déplaçant latéralement dans des environnements compromis avant d’exécuter le ransomware Cuba. Plus précisément, les acteurs « ont exploité un compte-gouttes qui écrit un pilote de noyau dans le système de fichiers appelé ApcHelper.sys . Cela cible et met fin aux produits de sécurité. Le compte-gouttes n’était pas signé; cependant, le pilote du noyau a été signé à l’aide du certificat trouvé dans la fuite LAPSUS NVIDIA. »

En plus de déployer des rançongiciels, les acteurs ont utilisé des techniques de « double extorsion », dans lesquelles ils exfiltrent les données des victimes, et (1) exigent le paiement d’une rançon pour les décrypter et, (2) menacent de les rendre publiques si le paiement d’une rançon n’est pas fait.

Cuba Ransomware Lien vers RomCom et Industrial Spy Marketplace

Depuis le printemps 2022, des rapports tiers et open source ont identifié un lien apparent entre les acteurs du ransomware Cuba, les acteurs du RomCom RAT et les acteurs du ransomware Industrial Spy :

Selon l’unité 42 de Palo Alto Networks, les acteurs du rançongiciel cubain ont commencé à utiliser le logiciel malveillant RomCom, un RAT personnalisé, pour le commandement et le contrôle (C2).

Les acteurs du rançongiciel cubain peuvent également tirer parti du rançongiciel Industrial Spy. Selon des rapports de tiers, des acteurs présumés de rançongiciels cubains ont compromis une entreprise de soins de santé étrangère. Les acteurs de la menace ont déployé le ransomware Industrial Spy, qui partage des similitudes de configuration distinctes avec le ransomware Cuba. Avant de déployer le rançongiciel, les acteurs se sont déplacés latéralement à l’aide d’ Impacket et ont déployé le proxy HTTP/HTTPS RomCom RAT et Meterpreter Reverse Shell via un serveur C2. Les acteurs du rançongiciel cubain ont d’abord utilisé leur site de fuite pour vendre des données volées ; cependant, vers mai 2022, les acteurs ont commencé à vendre leurs données sur le marché en ligne d’Industrial Spy pour vendre des données volées.

Les acteurs de RomCom ont ciblé des organisations militaires étrangères, des sociétés informatiques, des courtiers en alimentation et des fabricants, les IOC du FBI des rançongiciels cubains doivent être misent en place.

Les acteurs ont copié du code HTML légitime à partir de pages Web accessibles au public, ont modifié le code, puis l’ont incorporé dans des domaines usurpés, ce qui a permis aux acteurs RomCom de :

Héberger des applications cheval de Troie contrefaites pour
- Moniteur de performances réseau SolarWinds (NPM),
- Gestionnaire de mots de passe KeePass,
- PDF Reader Pro, (par PDF Technologies, Inc., pas un produit Adobe Acrobat ou Reader), et
- Logiciel de numérisation IP avancé ;
Déployez le RomCom RAT comme étape finale.

INDICATEURS DE COMPROMIS

Voir les tableaux 1 à 5 pour les découverte du FBI sur les IOC des rançongiciels cubains obtenus lors des enquêtes sur les réponses aux menaces à la fin août 2022. En plus de ces tableaux, consultez les publications dans la section Références ci-dessous pour vous aider à détecter une éventuelle exploitation ou compromission.

Remarque : Pour les IOC de début novembre 2021, voir FBI Flash : Indicators of Compromise Associated with Cuba Ransomware .

Nom de fichier	Chemin du fichier	Hachage de fichier
netping.dll	c:\windows\temp	SHA256 : f1103e627311e73d5f29e877243e7ca203292f9419303c661aec57745eb4f26c
shar.bat		MD5 : 4c32ef0836a0af7025e97c6253054bca SHA256 : a7c207b9b83648f69d6387780b1168e2f1eabd23ae6e162dd700ae8112f8b96c
Psexesvc.exe		SHA256 : 141b2190f51397dbd0dfde0e3904b264c91b6f81febc823ff0c33da980b69944
1 un
216155s.dll
23246s.bat		SHA256 : 02a733920c7e69469164316e3e96850d55fca9f5f9d19a241fad906466ec8ae8
23246s.dll		SHA256 : 0cf6399db55d40bc790a399c6bbded375f5a278dc57a143e4b21ea3f402f551f
23246st.dll		SHA256 : f5db51115fa0c910262828d0943171d640b4748e51c9a140d06ea81ae6ea1710
259238e.exe
31-100 un
3184. un
3184.dll
45.dll		SHA256 : 857f28b8fe31cf5db6d45d909547b151a66532951f26cda5f3320d2d4461b583
4ca736d.exe
62e2e37.exe
64.235.39.82
64s.dll
7z.sfx
7zCon.sfx
7-zip.chm
82.ps1
9479. un		SHA256 : 08eb4366fc0722696edb03981f00778701266a2e57c40cd2e9d765bf8b0a34d0
9479p. chauve-souris		SHA256 : f8144fa96c036a8204c7bc285e295f9cd2d1deb0379e39ee8a8414531104dc4a
9479p.ps1		SHA256 : 88d13669a994d2e04ec0a9940f07ab8aab8563eb845a9c13f2b0fec497df5b17
a.exe		MD5 : 03c835b684b21ded9a4ab285e4f686a3 SHA1 : easy2fcfdcbf3dca4dd77333aaab055345f3ab4 SHA256 : 0f385cc69a93abeaf84994e7887cb173e889d309a515b55b2205805bdfe468a3 SHA256 : 0d5e3483299242bf504bd3780487f66f2ec4f48a7b38baa6c6bc8ba16e4fb605 SHA256 : 7e00bfb622072f53733074795ab581cf6d1a8b4fc269a50919dda6350209913c SHA256 : af4523186fe4a5e2833bbbe14939d8c3bd352a47a2f77592d8adcb569621ce02
a220.chauve-souris
a220.dll		SHA256 : 8a3d71c668574ad6e7406d3227ba5adc5a230dd3057edddc4d0ec5f8134d76c3
a82.exe		SHA256 : 4306c5d152cdd86f3506f91633ef3ae7d8cf0dd25f3e37bec43423c4742f4c42
a91.exe		SHA256 : 3d4502066a338e19df58aa4936c37427feecce9ab8d43abff4a7367643ae39ce
a99.exe		SHA256 : f538b035c3de87f9f8294bec272c1182f90832a4e86db1e47cbb1ab26c9f3a0b
aa.exe
aa2.exe
aaa.stage.16549040.dns.alleivice.com
add2.exe
advapi32.dll
agent.13.ps1
agent.bat		SHA256 : fd87ca28899823b37b2c239fbbd236c555bcab7768d67203f86d37ede19dd975
agent.dll
agent13
agent13.ps1		SHA256 : 1817cc163482eb21308adbd43fb6be57fcb5ff11fd74b344469190bb48d8163b
agent64.bin		SHA256 : bff4dd37febd5465e0091d9ea68006be475c0191bd8c7a79a44fbf4b99544ef1
agsyst121.bat
agsyst121.dll
tout.bat		SHA256 : ecefd9bb8b3783a81ab934b44eb3d84df5e58f0289f089ef6760264352cf878a
all.dll		SHA256 : db3b1f224aec1a7c58946d819d729d0903751d1867113aae5cca87e38c653cf4
anet.exe		SHA1 : 241ce8af441db2d61f3eb7852f434642739a6cc3 SHA256 : 74fbf3cc44dd070bd5cb87ca2eed03e1bbeec4fec644a25621052f0a73abbe84 SHA256 : b160bd46b6efc6d79bfb76cf3eeacca2300050248969decba139e9e1cbeebf53 SHA256 : f869e8fbd8aa1f037ad862cf6e8bbbf797ff49556fb100f2197be4ee196a89ae
App.exe
appnetwork.exe
AppVClient.man
aswSP_arPot2
from.exe		SHA256 : 0c2ffed470e954d2bf22807ba52c1ffd1ecce15779c0afdf15c292e3444cf674 SHA256 : 310afba59ab8e1bda3ef750a64bf39133e15c89e8c7cf4ac65ee463b26b136ba
par.bat		SHA256 : b5d202456ac2ce7d1285b9c0e2e5b7ddc03da1cbca51b5da98d9ad72e7f773b8
c2.ps1
c2.ps1
cdzehhlzcwvzcmcr.aspx
check.exe
checkk.exe
checkk.txt		SHA256 : 1f842f84750048bb44843c277edeaa8469697e97c4dbf8dc571ec552266bec9f
client32.exe
comctl32.dll
comp2.ps1
comps2.ps1
cqyrrxzhumiklndm.aspx
defendercontrol.exe
ff.exe		SHA256 : 1b943afac4f476d523310b8e3afe7bca761b8cbaa9ea2b9f01237ca4652fc834
Fichier__agsyst121.dll
Fichier__aswArPot.sys
Fichier__s9239.dll
File_agsyst121.dll
File_aswArPot.sys
Fichier_s9239.dll
ga.exe
gdi32 .dll
geumspbgvvytqrih.aspx
IObit UNLOCKER.exe
kavsa32.exe		MD5 : 236f5de8620a6255f9003d054f08574b SHA1 : 9b546bd99272cf4689194d698c830a2510194722
kavsyst32.exe
kernel32.dll
komar.bat		SHA256 : B9AFE016DBDBA389000B01CE7645E7EEA1B0A50827CDED1CBAA48FBC715197BB
komar
komar121.bat
komar121.dll
komar2.ps1		SHA256 : 61971d3cbf88d6658e5209de443e212100afc8f033057d9a4e79000f6f0f7cc4
komar64.dll		SHA256 : 8E64BACAF40110547B334EADCB0792BDC891D7AE298FBFFF1367125797B6036B
mfcappk32.exe
newpass.ps1		SHA256 : c646199a9799b6158de419b1b7e36b46c7b7413d6c35bfffaeaa8700b2dcc427
npalll.exe		SHA256 : bd270853db17f94c2b8e4bd9fa089756a147ed45cbc44d6c2b0c78f361978906
ole32.dll
oleaut32.dll
ouvert.bat		SHA256 : 2EB3EF8A7A2C498E87F3820510752043B20CBE35B0CBD9AF3F69E8B8FE482676
open.exe
pass.ps1		SHA256 : 0afed8d1b7c36008de188c20d7f0e2283251a174261547aab7fb56e31d767666
pdfdecrypt.exe
powerview.ps1
prt3389. chauve-souris		SHA256 : e0d89c88378dcb1b6c9ce2d2820f8d773613402998b8dcdb024858010dec72ed
ra.ps1		SHA256 : 571f8db67d463ae80098edc7a1a0cad59153ce6592e42d370a45df46f18a4ad8
rg1.exe
Rg2.exe
rundll32
s64174.un		SHA256 : 10a5612044599128981cb41d71d7390c15e7a2a0c2848ad751c3da1cbec510a2 SHA256 : 1807549af1c8fdc5b04c564f4026e41790c554f339514d326f8b55cb7b9b4f79
s64174.dll
s9239. chauve-souris
s9239.dll
shell32.dll
set.exe
syskav64.exe
sysra64,exe
systav332.bat		SHA256 : 01242b35b6def71e42cc985e97d618e2fabd616b16d23f7081d575364d09ca74
TC-9.22a.2019.3.exe
TeamViewer.exe
testDLL.dll
tug4rigd.dll		SHA256 : 952b34f6370294c5a0bb122febfaa80612fef1f32eddd48a3d0556c4286b7474
UpdateNotificationPipeline.002.etl
user32.dll
v1.one
v2. chauve-souris
v3. chauve-souris
veeamp.exe		SHA256 : 9aa1f37517458d635eae4f9b43cb4770880ea0ee171e7e4ad155bbdee0cbe732
version.dll
vlhqbgvudfnirmzx.aspx
wininet.dll
wlog.exe
wpeqawzp.sys
y3lcx345.dll
zéro.exe		SHA256 : 3a8b7c1fe9bd9451c0a51e4122605efc98e7e4e13ed117139a13e4749e211ed0

Fournisseur de messagerie	Adresses mail
Cuba-supp [.] com	admin@cuba-supp[.]com
Prise en charge du cryptage [.] com	admin@encryption-support[.]com
Mail.supports24 [.] net	boîte de réception@mail.supports24[.]net

cuba_support@exploit[.]im

193.23.244[.]244	144.172.83[.]13	216.45.55[.]30
94.103.9[.]79	149.255.35[.]131	217.79.43[.]148
192.137.101[.]46	154.35.175[.]225	222.252.53[.]33
92.222.172[.]39	159.203.70[.]39	23.227.198[.]246
92.222.172[.]172	171.25.193[.]9	31.184.192[.]44
10.13.102[.]1	185.153.199[.]169	37.120.247[.]39
10.13.102[.]58	192.137.100[.]96	37.44.253[.]21
10.133.78[.]41	192.137.100[.]98	38.108.119[.]121
10.14.100[.]20	192.137.101[.]205	45.164.21[.]13
103.114.163[.]197	193.34.167[.]17	45.32.229[.]66
103.27.203[.]197	194.109.206[.]212	45.86.162[.]34
104.217.8[.]100	195.54.160[.]149	45.91.83[.]176
107.189.10[.]143	199.58.81[.]140	64.52.169[.]174
108.170.31[.]115	204.13.164[.]118	64.235.39[.]82
128.31.0[.]34	209.76.253[.]84	79.141.169[.]220
128.31.0[.]39	212.192.241[.]230	84.17.52[.]135
131.188.40[.]189	213.32.39[.]43	86.59.21[.]38
141.98.87[.]124	216.45.55[.]3

bc1q4vr25xkth35qslenqwd7aw020w85qrvlrhv7hc

bc1q5uc0fdnz0ve5pg4nl4upa9ly586t6wmnghfe7x

bc1q6rsj3cn37dngypu5kad9gdw5ykhctpwhjvun3z

bc1q6zkemtyyrre2mkk23g93zyq98ygrygvx7z2q0t

bc1q9cj0n9k2m282x0nzj6lhqjvhkkd4h95sewek83

bc1qaselp9nhejc3safcq3vn5wautx6w33x0llk7dl

bc1qc48q628t93xwzljtvurpqhcvahvesadpwqtsza

bc1qgsuf5m9tgxuv4ylxcmx8eeqn3wmlmu7f49zkus

bc1qhpepeeh7hlz5jvrp50uhkz59lhakcfvme0w9qh

bc1qjep0vx2lap93455p7h29unruvr05cs242mrcah

bc1qr9l0gcl0nvmngap6ueyy5gqdwvm34kdmtevjyx

bc1qs3lv77udkap2enxv928x59yuact5df4t95rsqr

bc1qyd05q2m5qt3nwpd3gcqkyer0gspqx5p6evcf7h

bc1qzz7xweq8ee2j35tq6r5m687kctq9huskt50edv

bc1qvpk8ksl3my6kjezjss9p28cqj4dmpmmjx5yl3y

bc1qhtwfcysclc7pck2y3vmjtpzkaezhcm6perc99x

bc1qft3s53ur5uq5ru6sl3zyr247dpr55mnggwucd3

bc1qp7h9fszlqxjwyfhv0upparnsgx56x7v7wfx4x7