古巴勒索软件

古巴 "通常是通过第一阶段的Hancitor 载入器恶意软件投放的，该恶意软件通过网络钓鱼攻击、暴露的漏洞或窃取或暴力获取的 RDP 凭据获得访问权限。为了锁定目标文件，"古巴 "使用对称加密算法 ChaCha20，然后使用 RSA 公钥对解密密钥进行附加和加密，并持有与之匹配的私钥。

值得注意的是，在古巴的袭击中发现了各种工具、战术和技巧。以下是古巴战术和技术的不完全清单：

• 通过使用 SOCKS5 连接的 SystemBC 恶意软件与指挥和控制 (C2) 服务器通信
• 利用 Microsoft Exchange 漏洞渗透网络邮件服务器
• 使用 PowerShell、SystemBC、Mimikatz、Cobalt Strike 平台和 cmd.exe等内置工具在网络中横向移动
• 使用 PSEXEC 将有效载荷转移到新入侵的系统中
• 移除网络共享访问控制
• 在被入侵系统上创建新用户，以便持续访问 
• 更改防火墙规则，允许 RDP 连接使用 3389 端口
• 禁用端点检测与响应 (EDR)和防病毒安全产品
• 利用 Windows 通用日志文件系统 (CLFS) 驱动程序窃取管理员凭据
• 使用定制下载器 BUGHATCH、反恶意软件杀手 BURNTCIGAR 和 Metasploit 框架攻击系统
• 利用自带漏洞驱动程序 (BYOVD) 技术规避防御和绕过安全系统
• 通过 Veeam 备份服务利用漏洞 CVE-2023-27532 访问存储的凭据

古巴勒索软件使用多种攻击技术，因此建议采用纵深防御的方法来对付这种恶毒的对手。应对古巴勒索软件攻击的防御措施包括 

• 制定密码政策，规定强大的密钥空间，为所有关键服务启用多因素身份验证
• 现代身份和访问管理（IAM）工具 
• 在所有端点上安装高级端点安全产品，以检测入侵迹象 (IOC)，并采取防御措施阻止恶意有效载荷的执行
• 不断更新所有操作系统和软件，定期对所有网络基础设施进行漏洞扫描和渗透测试，尽快修复发现的任何漏洞
• 执行安全方面的最小特权原则，包括取消对管理共享和其他服务的不必要访问权限
• 分段网络以及 NIPS 和 NIDS，以监控网络活动的异常行为
• 通过禁用命令行和脚本活动以及权限和不需要的服务，加固包括员工工作站和服务器在内的所有端点，以减少 "靠天吃饭"（LOTL）式攻击的可能性
• 可靠的备份策略，包括离线、加密和不可更改的数据备份