The Hacker Newsはこのほど、「Cuba Ransomware Extorted Over $60 Million in Ransom Fees from More than 100 Entities」において、「Cuba」の名称で知られるランサムウェアによって2022年8月までに世界中で100以上の組織が侵害され、総額6,000万ドル以上の身代金被害が発生したと伝えた。Cubaを用いたこの攻撃には、金融サービスや政府機関、ヘルスケア、製造業、およびITセクターを主なターゲットとする「Tropical Scorpius」と呼ばれる攻撃グループが関わっているとみられている。

Cubaは既知の脆弱性やフィッシング、侵害された資格情報、リモートデスクトッププロトコル (RDP) ツールの悪用など、複数の手段を用いられることが知られている。最初の侵害に成功すると、攻撃者が続いてHancitor (別名、Chanitor)と呼ばれるマルウェアを介してランサムウェアを配布する。The Hacker Newsは、Cubaに組み込まれた既知の脆弱性の一例として次の2つを紹介している。

  • CVE-2022-24521: Windows Common Log File System (CLFS) ドライバーの権限昇格の脆弱性(CVSS v3のスコアは7.8)
  • CVE-2020-1472 : Netlogonリモートプロトコルにおける権限昇格の脆弱性(CVSS v3のスコアは10.0)

攻撃者は、Cubaランサムウェアによって被害者のデータを盗み出して暗号化した後に、暗号化を解除するために身代金を要求するだけでなく、身代金の支払いが行われた後にも機密情報を公開すると脅してさらに金銭を要求する「二重恐喝」を行うことも確認されているとのこと。

なお、ランサムウェアの名称は「Cuba」だが、その活動にキューバ共和国は関係していない。The Hacker Newsによると、BlackBerryとPalo Alto Networks Unit 42の最新の調査によって、Cubaの使用者は、RomCom RATやIndustrial Spyといった別のランサムウェアの背後にいる攻撃グループとも関連していることが分かったという。米国の米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)とアメリカ連邦調査局(FBI: Federal Bureau of Investigation)は2022年12月1日(米国時間)、Cubaによる被害を食い止めるためにセキュリティアラート「AA22-335A: #StopRansomware: Cuba Ransomware」を発行した。

  • CISAとFBIによるCubaランサムウェアへの警戒を促すセキュリティアラート

    CISAとFBIによるCubaランサムウェアへの警戒を促すセキュリティアラート