Ξένοι χάκερς φαίνεται πως απειλούν μεταξύ άλλων και την Πελοπόννησο. Την αύξηση κυβερνοεπιθέσεων σε διαδικτυακούς τόπους κρατικών φορέων -μεταξύ των οποίων και των Περιφερειών της χώρας- επισημαίνει με έγγραφο το υπουργείο Εσωτερικών προς την Διεύθυνση Διαφάνειας και Ηλεκτρονικής Διακυβέρνησης της Περιφέρειας Πελοποννήσου.
Με αφορμή τις εν λόγω επιθέσεις που προέρχονται από την ομάδα Cuba Ransomware, η πιο πάνω Διεύθυνση της Περιφέρειας συστήνει να υπάρχει μεγάλη προσοχή σε πρόσβαση στο υπηρεσιακό δίκτυο απομακρυσμένα, μέσω προσωπικών συσκευών.
Πώς γίνονται οι επιθέσεις συμφωνά με το FBI
Σύμφωνα με το FBI, η ransomware ομάδα που αυτοαποκαλείται Cuba, έχει καταφέρει να αποσπάσει πάνω από 43,9 εκατομμύρια δολάρια από τα θύματα της. Οι ομοσπονδιακοί ερευνητές εξέδωσαν μία προειδοποίηση, λέγοντας ότι στις δεκάδες παραβιάσεις, έχουν επηρεαστεί και τομείς ζωτικής σημασίας που αφορούν την υγειονομική περίθαλψη, πληροφοριακά συστήματα, την κυβέρνηση και τον τομέα οικονομικών.
Οι επιθέσεις γίνονται μέσω ενός προγράμματος κακόβουλου λογισμικού που βασίζεται στα Windows και ονομάζεται Hancitor. Το συγκεκριμένο μπορεί να κατεβάσει επιπλέον malware σε έναν υπολογιστή, ενώ τα spam στο email, είναι ένας από τους τρόπους που το Hancitor μπορεί να εισβάλλει στον υπολογιστή.
«Οι δράστες μεταφέρουν το Hancitor μέσω ηλεκτρονικού “ψαρέματος”, αξιοποιούν αδυναμίες, κλεμμένα διαπιστευτήρια ή ακόμη και εργαλεία πρωτοκόλλου απομακρυσμένης επιφάνειας εργασίας (RDP) για να αποκτήσουν πρόσβαση στον υπολογιστή του θύματος», αναφέρει το FBI.
Στη συνέχεια, η ομάδα διαχειρίζεται τα νόμιμα εργαλεία των Windows, όπως τα PowerShell και PsExec, για να διαδώσει το ransomware στο δίκτυο του θύματος. Με τη σειρά του κρυπτογραφεί αρχεία, χρησιμοποιώντας την επέκταση αρχείου “.cuba”. Για την αποκρυπτογράφηση τους, τα θύματα απαιτείται να πληρώσουν σε Bitcoin.
«Οι δράστες έχουν συνολικά ζητήσει πληρωμές λίτρων τουλάχιστον 74 εκατομμυρίων δολαρίων, ενώ έχουν λάβει περίπου 43,9 εκατομμύρια δολάρια», λέει το FBI.
Ταυτόχρονα η ομάδα κλέβει αρχεία από το δίκτυο του θύματος και απειλεί να τα κυκλοφορήσει στο dark web, εκτός και εάν καταβληθούν τα λύτρα, σύμφωνα με την εταιρεία ασφαλείας McAfee. «Το Cuba ransomware έχει στοχεύσει αρκετές εταιρείες στη Βόρεια και Νότια Αμερική καθώς και στην Ευρώπη», γράφει η αναφορά της McAfee.
Αν και η ομάδα χρησιμοποιεί το όνομα Cuba, ερευνητές ασφαλείας στο Ισραήλ, πιστεύουν ότι η βάση της είναι στη Ρωσία. Τη χώρα που αρνείται να εκδώσει εγκληματίες χάκερ στις ΗΠΑ.
Cuba ransomware σε κρίσιμα δίκτυα της Ουκρανίας
Το Computer Emergency Response Team της Ουκρανίας (CERT-UA) εξέδωσε προειδοποίηση, προειδοποιώντας για πιθανές επιθέσεις Cuba Ransomware σε κρίσιμα δίκτυα της χώρας.
Στις 21 Οκτωβρίου, η CERT-UA παρατήρησε ένα νέο κύμα ηλεκτρονικών μηνυμάτων ηλεκτρονικού “ψαρέματος” που παρίσταναν την Υπηρεσία Τύπου του Γενικού Επιτελείου των Ενόπλων Δυνάμεων της Ουκρανίας. Το μήνυμα ηλεκτρονικού ταχυδρομείου προέτρεπε τους παραλήπτες να κάνουν κλικ σε έναν ενσωματωμένο σύνδεσμο, ο οποίος τους οδηγούσε σε μια ιστοσελίδα τρίτου μέρους όπου υποτίθεται ότι έπρεπε να κατεβάσουν ένα έγγραφο με την ονομασία “Наказ_309.pdf”. Ωστόσο, αντ’ αυτού, είδαν μια ψεύτικη ειδοποίηση που ανέφερε ότι το λογισμικό ανάγνωσης αρχείων PDF έπρεπε πρώτα να γίνει update.
Στη συνέχεια, ο ιστότοπος διαθέτει ένα κουμπί “DOWNLOAD”, το οποίο όταν πατηθεί από τον χρήστη οδηγεί στη λήψη ενός εκτελέσιμου αρχείου (“AcroRdrDCx642200120169_uk_UA.exe”) που μοιάζει με το πρόγραμμα εγκατάστασης του Acrobat Reader.
Ωστόσο, η εκτέλεση αυτού του αρχείου θα εγκαταστήσει και θα εκτελέσει το αρχείο DLL “rmtpak.dll”, το οποίο είναι το κακόβουλο λογισμικό του Cuba Ransomware γνωστό ως “ROMCOM RAT”.
Τον Σεπτέμβριο του 2022, αποκαλύφθηκε ότι το Μαυροβούνιο είχε πληγεί από το Cuba Ransomware. Οι χάκερ απαίτησαν την καταβολή λύτρων ύψους 10.000.000 δολαρίων.
Παρόλο που η αρχική επίθεση είχε πολιτικά κίνητρα, το Cuba Ransomware δεν υποστήριξε καμία πολιτική ιδεολογία ούτε πήρε θέση στη σύγκρουση μεταξύ Ρωσίας και Ουκρανίας.
