古巴勒索软件操作已恢复正常操作，其恶意软件的新版本在最近的攻击中使用。

古巴勒索软件的活动在 2021 年达到顶峰，当时它与Hancitor 恶意软件团伙合作进行初始访问。到年底，它已经攻破了美国49 个关键基础设施组织。

今年开始对勒索软件团伙来说不那么令人印象深刻，几乎没有新的受害者。然而，Mandiant 发现了战术变化和实验的迹象，表明该组织仍然活跃。
现在，趋势科技分析师报告称，古巴感染病例从 3 月开始重新抬头，并持续强劲到 2022 年 4 月。

古巴勒索软件列出了汽车生产行业的一家大公司
古巴在其 Tor 网站上于 4 月和 5 月分别列出了 3 名受害者和 1 名受害者。但是，导致这些文件发布的攻击可能更早展开。

虽然与其他勒索软件操作相比，这些数字并不令人印象深刻，但“古巴”通常更具选择性，只针对大型组织。

发现新变种
4 月下旬，趋势科技采样的一个新二进制文件包括一些小的添加和更改，这些添加和更改使恶意软件对目标实体更加危险。但更重要的是，它表明该操作仍然存在并且正在积极开发其加密器。

虽然古巴勒索软件的更新在整体功能方面没有太大变化，但我们有理由相信，这些更新旨在优化其执行，最大限度地减少意外系统行为，并在勒索软件受害者选择协商时为他们提供技术支持。-趋势科技

该恶意软件现在会在加密前终止更多进程，包括 Outlook、MS Exchange 和 MySQL。勒索软件加密器终止服务以防止这些应用程序锁定文件并防止它们被加密。

恶意软件的服务终止 （趋势科技）
其次，排除列表已经扩展，在加密期间可以跳过更多目录和文件类型。这有助于在攻击后维护一个正常工作的系统，并防止可能导致无法恢复的损坏文件的执行循环，使受害者没有动力购买解密器。

第三，该团伙更新了其赎金记录，添加了 quTox 以获得现场受害者支持，并表示如果三天内没有满足要求，威胁参与者将在 Tor 网站上发布所有被盗数据。

外表
古巴勒索软件变种的改进只能意味着该组织将在接下来的几个月中继续对组织构成威胁，主要是位于北美的组织。

古巴勒索软件目前仍然是安全的，因此没有可用的解密器可供受害者免费恢复文件。
因此，定期进行数据备份、实施网络分段并使所有系统保持最新状态将是应对威胁的最佳方法。

Black Basta 勒索软件团伙与 QBot 恶意软件操作合作，通过被黑客入侵的企业环境横向传播。

QBot (QuakBot) 是一种 Windows 恶意软件，可窃取银行凭据、Windows 域凭据，并在受感染设备上提供更多恶意软件负载。

受害者通常通过带有恶意附件的网络钓鱼攻击感染 Qbot。尽管它最初是一个银行木马，但它已经与其他勒索软件团伙进行了多次合作，包括 MegaCortex、 ProLock、DoppelPaymer 和 Egregor。

Black Basta 与 Qbot 合作
Black Basta 是一个相对较新的勒索软件操作，它 开始令人印象深刻，在相对较短的时间内破坏了许多公司，同时要求支付大量赎金。

NCC 集团的分析师在最近的一次事件响应中发现了 Qakbot 和 Black Basta 之间的新合作伙伴关系，他们能够识别威胁参与者使用的技术。

虽然勒索软件团伙通常使用 QBot 进行初始访问，但 NCC 表示 Black Basta 团伙使用它在整个网络中横向传播。

更具体地说，该恶意软件在目标主机上远程创建一个临时服务，并将其配置为使用 regsvr32.exe 执行其 DLL。

一旦 Qakbot 启动并运行，它就可以感染网络共享和驱动器、暴力破解 AD 帐户，或使用 SMB（服务器消息块）文件共享协议创建自身副本或使用当前用户凭据通过默认管理员共享进行传播。

“Qakbot 是威胁行为者用来维持其在网络上的存在的主要方法。在妥协过程中，还观察到威胁行为者使用 Cobalt Strike 信标，” NCC 集团的报告解释道。

分析师还指出，他们在 Windows 文件夹中发现了一个名为“pc_list.txt”的文本文件，其中包含网络中所有系统的内部 IP 地址列表，可能由 Qakbot 生成。
禁用 Windows Defender
在 NCC 响应者观察到的最近一次攻击中，Black Basta 展示了自ZZQIDC最初报道它以来所看到的相同特征。

这些特征包括修改壁纸图标、删除卷影副本、在加密文件上附加 .basta 扩展名以及在赎金记录中生成公司 ID。

然而，NCC 表示，威胁行为者还禁用 Windows Defender 以逃避检测，并最大限度地减少危及加密步骤成功的机会。

勒索软件运营商通过执行 PowerShell 命令或在受感染的域控制器上创建 GPO 来实现这一目标，这将在 Windows 注册表上执行更改。

禁用保护的注册表更改 （NCC 组）
Qakbot 可以快速进入受感染的网络，窃取帐户凭据并转移到相邻的工作站。尽管如此，勒索软件的有效载荷并没有立即被提取，因此在灾难来袭之前，防御者总是有一个机会之窗。

特洛伊木马具有复杂 多样的攻击途径，每一种都有自己的检测机会，但它们都始于恶意电子邮件的到来。因此，这是最需要注意的地方，避免打开附件或点击嵌入式链接。

谷歌已为运行操作系统版本 10、11 和 12 的 Android 设备发布了 2022 年 6 月的安全更新，修复了 41 个漏洞，其中 5 个被评为严重。

该安全更新分为两个级别，分别于 6 月 1 日和 6 月 5 日发布。第一个包含 Android 系统和框架组件的补丁，第二个包含内核和第三方供应商闭源组件的更新。

在本月解决的五个关键漏洞中，最突出的是 CVE-2022-20210，这是一个远程代码执行漏洞，威胁者可以在没有非常苛刻的先决条件的情况下利用它。

“这些问题中最严重的是系统组件中的一个严重安全漏洞，它可能导致无需额外执行权限即可远程执行代码，” Android 安全公告中提到。

远程代码执行缺陷特别严重，因为它们可能导致信息泄露、高级系统危害和完整的设备接管。

与第一个补丁级别一起登陆的另外两个重要修复涉及 CVE-2022-20140 和 CVE-2022-20145，这两个都是特权漏洞的关键严重性升级。

这些类型的漏洞通常被恶意软件利用，这些恶意软件通过低权限途径潜入设备，例如安装看似无害的应用程序，以根据恶意意图提高其执行或访问权限。

通过“2022 年 6 月 1 日”补丁级别解决的第四个严重缺陷是 CVE-2022-20130，它位于媒体编解码器组件中。

第五个关键缺陷修复仅涉及 Unisoc 芯片，因此只能通过“2022 年 6 月 5 日”补丁级别获得。

这个漏洞被追踪为 CVE-2022-20210，本月早些时候由Check Point的研究人员披露，他们发现可以通过使用格式错误的数据包来中和设备的无线电通信。

Unisoc 约占Android 市场的11%，主要用于军用等价格实惠或坚固耐用的设备中。

在您的设备可用时立即应用可用更新至关重要，即使上述漏洞当前均未标记为已被积极利用。

值得注意的是，本月，三星以一天的优势击败了谷歌，推出了包含上述所有修复的 6 月补丁。

如果供应商不再支持您的设备并且已停止接收安全更新，则建议使用包含旧型号最新补丁和安全功能的第三方 Android 发行版。

意大利南部巴勒莫市周五遭受网络攻击，这似乎对公民和来访游客的广泛运营和服务产生了巨大影响。

巴勒莫拥有约 130 万人口，是意大利人口第五大城市。该地区每年还有 230 万游客到访。

尽管本地 IT 专家在过去三天一直在尝试恢复系统，但所有服务、公共网站和在线门户都处于离线状态。

据当地多家媒体报道，受影响的系统包括公共视频监控管理、市警察行动中心以及市政府的所有服务。

依靠数字系统进行交流或请求任何服务是不可能的，所有公民都必须使用过时的传真机才能到达公共办公室。

此外，游客无法在线预订博物馆和剧院（马西莫剧院）的门票，甚至无法确认他们对体育设施的预订。

最后，限制交通区域卡是不可能获得的，因此没有进行监管，也没有对相关违规行为进行罚款。不幸的是，历史悠久的市中心需要这些通行证才能进入，因此游客和当地居民受到了严重影响。

勒索软件还是 DDoS？
意大利最近收到了来自 Killnet 组织的威胁，该组织是一个亲俄罗斯的黑客活动家，该组织通过称为 DDoS（分布式拒绝服务）的资源消耗型网络攻击攻击支持乌克兰的国家。

虽然有些人很快将矛头指向了 Killnet，但对巴勒莫的网络攻击带有勒索软件攻击而非 DDoS 的迹象。

巴勒莫市创新议员 Paolo Petralia Camassa表示，所有系统都已谨慎关闭并与网络隔离，同时他还警告说，中断可能会持续一段时间。

这是对勒索软件攻击的典型反应，网络被脱机以防止恶意软件传播到更多计算机并加密文件。

如果这种网络攻击被证明是勒索软件，那么负责它的团伙可能已经设法窃取数据进行双重勒索，这通常伴随着这些攻击。

在这种情况下，巴勒莫可能面临影响大量个人的严重数据泄露的前景，并可能因违反 GDPR 而被罚款。

Bleeping Computer 已联系对事件做出响应并目前执行 IT 服务恢复的公司 SISPI，我们将在收到回复后立即更新此帖子。

安全研究人员发现，在大规模网络钓鱼活动中使用反向隧道服务以及 URL 缩短器的情况有所增加，这使得恶意活动更难以阻止。

这种做法不同于向托管服务提供商注册域名的更常见方法，后者可能会回应投诉并关闭网络钓鱼网站。

借助反向隧道，威胁参与者可以在自己的计算机上本地托管网络钓鱼页面，并通过外部服务路由连接。使用 URL 缩短服务，他们可以随时生成新链接以绕过检测。

许多网络钓鱼链接会在 24 小时内刷新，这使得跟踪和删除域成为一项更具挑战性的任务。

服务滥用
数字风险保护公司 CloudSEK 观察到结合反向隧道和 URL 缩短服务的网络钓鱼活动的数量有所增加。

在该公司与 BleepingComputer 分享的一份报告中，研究人员表示，他们发现有 500 多个网站以这种方式托管和分发。

CloudSEK 在他们的研究中发现最广泛滥用的反向隧道服务是 Ngrok、LocalhostRun 和 Cloudflare 的 Argo。他们还发现 Bit.ly、is.gd 和 cutt.ly URL 缩短服务越来越普遍。

反向隧道服务通过处理与托管它的本地服务器的所有连接来屏蔽网络钓鱼站点。这样，任何传入连接都由隧道服务解析并转发到本地机器。

网络钓鱼者的作案手法 (CloudSEK)
与这些网络钓鱼站点交互的受害者最终会将其敏感数据直接存储在攻击者的计算机上。

CloudSEK 说，通过使用 URL 缩短器，攻击者可以掩盖 URL 的名称，该名称通常是一串随机字符。因此，会引起怀疑的域名隐藏在短 URL 中。

根据 CloudSEK 的说法，攻击者正在通过流行的通信渠道（如 WhatsApp、Telegram、电子邮件、文本或虚假社交媒体页面）分发这些链接。

值得注意的是，滥用这些服务并不是什么新鲜事。例如，Cyble 在 2021 年 2 月提出了滥用 Ngrok 的证据。但是，根据 CloudSEK 的调查结果，问题正在变得更糟。
检出病例
CloudSEK 检测到的滥用这些服务的网络钓鱼活动的一个例子是冒充印度国家银行提供的数字银行平台 YONO。

YONO 网络钓鱼站点托管在本地 (CloudSEK)
攻击者定义的 URL 隐藏在“cutt[.]ly/UdbpGhs”后面，并指向使用 Cloudflare 的 Argo 隧道服务的域“ultimate-boy-bacterial-generates[.]trycloudflare[.]com/sbi”。

该网络钓鱼页面请求银行账户凭证、PAN 卡号、Aadhaar 唯一标识号和手机号码。

CloudSEK 没有分享该活动的有效性，但强调威胁参与者很少使用同一个域名超过 24 小时，尽管他们确实回收了网络钓鱼页面模板。

“即使 URL 被报告或阻止，威胁参与者也可以使用相同的模板轻松托管另一个页面” - CloudSEK

以这种方式收集的敏感信息可以在暗网上出售或被攻击者用来清空银行账户。如果数据来自公司，威胁者可能会使用它来发起勒索软件攻击或商业电子邮件泄露 (BEC) 欺诈。

为了防止此类威胁，用户应避免单击从未知或可疑来源收到的链接。在浏览器中手动输入银行的域名是防止暴露于虚假网站的好方法。

据报道，在 Yuga Lab 的 Bored Ape Yacht Club 和 Otherside Metaverse Discord 服务器遭到入侵以发布网络钓鱼诈骗后，黑客窃取了超过 257,000 美元的以太坊和 32 个 NFT。

今天早上早些时候， 据称 Yuga Labs 社区经理的 Discord 帐户被黑客入侵 ，以在公司的 Discord 服务器上发布网络钓鱼诈骗。

这种网络钓鱼骗局假装是对现有 BAYC、Mutant Ape Yacht Club (MAYC) 和 Otherside NFT 持有者的独家、有限赠品，其中包括一个网页链接，允许访问者铸造免费 NFT。
正如您在下面看到的那样，网络钓鱼诈骗增加了一种紧迫感，指出只有有限数量的 NFT 可供铸造，这可能促使访问者放弃谨慎并急于铸造免费赠品。

BAYC Discord 服务器上的网络钓鱼帖子
来源： OKHotshot
一旦用户访问该页面并试图铸造赠品，该页面可能会窃取链接钱包中持有的所有以太坊和 NFT。

据区块链网络安全公司 PeckShield 称，大约有 32 个 NFT 被盗，包括来自 Bored Ape Yacht Club、Otherdeed、Bored App Kennel Club 和 Mutant Ape Yacht Club 项目的 NFT。

通过网络钓鱼诈骗窃取的 NFT 清单
来源：PeckShieldAlert
用户还报告说，黑客在网络钓鱼攻击期间窃取了超过 145 个以太坊，价值约 250,000 美元。

今年 4 月，在 Yuga Lab 的 Instagram 帐户被黑客入侵以推广网络钓鱼诈骗后，发生了类似的网络钓鱼攻击，该诈骗使价值约 300 万美元的 NFT 被盗。

当时，Yuga Labs 宣布他们永远不会在 Instagram 上发布薄荷糖，用户应该只依赖来自他们的 Twitter 帐户和 Discord 服务器的帖子。

“我们也永远不会首先在 BAYC 或 Otherside Instagram 账户上宣布薄荷糖，” Bored Ape Yacht Club Twitter 账户上的一条推文写道。

“只能从我们的官方推特账户获取信息：@BoredApeYC、@yugalabs 和 @OthersideMeta。这些信息将在 BAYC Discord 的#announcement 频道上交叉发布。”

目前尚不清楚社区管理员的帐户是如何被盗用的，以及是否启用了双因素身份验证，这通常可以防止这些攻击。

ZZQIDC已联系 Yuga Labs 询问有关网络钓鱼攻击的问题，但目前尚未收到回复。

制药巨头诺华（Novartis）表示，在最近的工业间谍数据勒索团伙的网络攻击中，没有敏感数据受到损害。

Industrial Spy 是一个黑客组织，经营着一个敲诈勒索市场，他们出售从受害组织窃取的数据。

昨天，该黑客组织开始在其 Tor 勒索市场上以 50 万美元的价格出售据称从诺华公司窃取的数据
威胁参与者声称，这些数据与诺华公司的基于 RNA 和 DNA 的药物技术和测试有关，并且是“直接从制造厂的实验室环境中窃取的”。

在工业间谍勒索市场上出售的诺华数据
来源：ZZQIDC
出售的数据由 7.7 MB 的 PDF 文件组成，这些文件的时间戳均为 2/25/2022 04:26，可能是数据被盗的时候。

由于要出售的数据量很少，尚不清楚这是否是攻击者窃取的全部数据，或者他们是否还有更多数据可以在以后出售。

BleepingComputer 向诺华公司发送电子邮件确认攻击和数据被盗，并收到以下声明。

“诺华公司已经意识到这件事。我们已经彻底调查了它，我们可以确认没有敏感数据受到损害。我们非常重视数据隐私和安全，并针对此类威胁实施了行业标准措施，以确保安全我们的数据。” - 诺华。

诺华拒绝回答有关违规行为、发生时间以及威胁参与者如何访问其数据的任何进一步问题。

Industrial Spy 也已知 在攻击中使用勒索软件，但没有证据表明设备在诺华事件期间被加密。

纽约州参议院通过了一项禁止开设新的碳动力矿场的法律。该倡议还启动了一项关于采矿场对环境影响的研究，于今年早些时候由州议会通过。参议院批准后，该法案被送交州长 Kathy Hochul 批准。

去年中国当局对加密货币挖矿实施严格限制后，大型矿场转移到其他国家，其中美国成为最具吸引力的地方之一。在纽约州，大部分能源是由水力发电产生的。此外，该州还有许多以化石燃料为燃料的废弃工厂，适合安置采矿设备。这一切很快使纽约成为比特币开采中心之一。

燃煤工业设施的恢复运营引起了当地居民和环保人士的强烈反对。他们担心由于比特币而重新运转的工厂会损害环境并破坏政府应对气候变化的努力。参议院批准的法案要求在两年内暂停使用特别耗能的工作量证明算法开设新的矿场。该算法是两种最大的加密货币比特币和以太坊的基础。

使用恶意软件执行加密和剪贴板黑客操作的工作人员已经盗取了至少 170 万美元的被盗加密货币。

据赛门铁克威胁情报团队的研究人员称，这种名为 Trojan.Clipminer 的恶意软件利用受感染系统的计算能力来挖掘加密货币，并在剪贴板文本中识别加密钱包地址并将其替换为重定向交易。

赛门铁克研究人员本周在一篇博文中写道，Windows 恶意软件的第一批样本出现在 2021 年 1 月，并在下个月开始加速传播。他们还观察到，Clipminer 和 KryptoCibule 之间在设计上有一些相似之处——另一种加密木马，在 Clipminer 出现前几个月，由 ESET 分析师检测并编写。

“虽然我们无法确认 Clipminer 和 KryptoCube 是否是一回事，但它们的设计相似性是惊人的，”赛门铁克威胁猎手写道。“有可能在 ESET 的博客曝光之后，KryptoCibule 参与者可能已经改变并启动了 Clipminer。另一种可能性是，不同的威胁参与者可能从 KryptoCibule 中获得灵感并按照其形象创建了 Clipminer。”

无论哪种方式，“有一点很清楚，”研究人员写道，“Clipminer 已被证明是一项成功的努力，为其运营商赢得了可观的收入。”

该恶意软件似乎通过破解或盗版软件的木马下载传播。Clipminer 将 WinRAR 压缩文件放入主机，并以动态链接库 (DLL) 的形式自动提取和删除下载器。一旦执行，它会确保如果它被中断，它将重新启动。然后它会创建一个注册表值并重命名自己，将其放入 Windows 临时文件中。

恶意软件从那里收集系统的详细信息，并通过 Tor 网络连接回命令和控制服务器 (C2)。该恶意软件还创建计划任务以确保受感染系统的持久性和两个包含从主机复制的文件的新目录，以降低恶意文件脱颖而出并混淆其存在的可能性。

还会创建一个空的注册表项，以确保同一主机不会再次受到感染。

研究人员写道：“在每次剪贴板更新时，它都会扫描剪贴板内容以查找钱包地址，识别至少十几种不同加密货币使用的地址格式。” “识别的地址然后被攻击者控制的钱包地址替换。对于大多数地址格式，攻击者提供多个替换钱包地址可供选择。”

Clipminer 选择与被替换地址的前缀匹配的地址，从而使用户不太可能注意到任何事情，而他们更有可能继续进行交易。

研究人员写道，该恶意软件还可以监控键盘和鼠标活动以确定系统是否正在使用，还可以监控正在运行的进程，检查分析人员和故障排除工具。如果主机系统和一些故障排除工具似乎没有被使用，恶意软件将启动 XMRig 加密货币矿工。研究人员观察到，有迹象表明，不良行为者过去曾使用过其他矿工，并且当系统上有专用 GPU 可用时，很可能使用了不同的矿工。

该恶意软件总共拥有 4,375 个由攻击者控制的唯一钱包地址。其中，为三种格式的比特币地址预留了 3,677 个地址。赛门铁克研究人员查看了比特币和以太坊钱包地址，发现当时他们持有大约 34.3 个比特币和 129.9 个以太坊。

与此同时，一些资金显然已被发送到加密货币不倒翁——混合服务旨在使追踪资金变得困难。

他们写道：“这些服务将潜在可识别的资金与其他资金混合在一起，从而掩盖了追溯到资金原始来源的踪迹。” “如果我们将转移到这些服务的资金包括在内，恶意软件运营商可能仅从剪贴板劫持中就可能赚取至少 170 万美元。”

数据安全供应商 Theon Technology 的首席执行官 Scott Bledsoe 告诉The Register，他对坏人赚到的钱并不感到惊讶。

“我发现如果将机器人交付给足够多的主机，他们将获得数百万美元是完全可行的，”Bledsoe 说。“这是不同的，因为他们基本上是在向计算机提供标准化的挖掘软件并在他们不知情的情况下运行它。”

他补充说，该系统“旨在以这种方式工作，假设矿工知道他们的机器正在运行该软件。这在过去十年中已经发生过多次。”

Evil Corp 网络犯罪集团现已转而在目标网络上部署 LockBit 勒索软件，以逃避美国财政部外国资产控制办公室 (OFAC) 实施的制裁。

Evil Corp （又名 INDRIK SPIDER 或 Dridex 帮派）自 2007 年开始活跃， 以推动 Dridex 恶意软件并随后转向勒索软件“业务”而闻名。

该团伙从 Locky 勒索软件开始，然后在 2019 年之前部署了他们自己的勒索软件 BitPaymer。

由于美国于 2019 年 12 月制裁他们使用 Dridex 造成超过 1 亿美元的经济损失，该组织于 2020 年 6 月转而安装其新的 WastedLocker 勒索软件 。

从 2021 年 3 月起，Evil Corp 转移到了另一种称为 Hades 勒索软件的变种，它是 WastedLocker 的 64 位变体，升级了额外的代码混淆和较小的功能更改。

从那时起，威胁参与者还 冒充 PayloadBin 黑客组织 ，并使用其他勒索软件，称为 Macaw Locker 和 Phoenix CryptoLocker。

LockBit 开关
正如 Mandiant 威胁分析师 最近观察到的那样，网络犯罪团伙现在再次尝试与已知工具保持距离，以允许受害者支付赎金而不会面临 与违反 OFAC 法规相关的风险，

Mandiant 跟踪为 UNC2165 的活动集群（之前部署了 Hades 勒索软件并链接到 Evil Corp）现在正在部署勒索软件作为 LockBit 附属机构。

“使用这种 RaaS 将允许 UNC2165 与其他附属公司融合，需要对攻击生命周期的早期阶段进行可见性，以正确归因于活动，与之前可能基于使用专有勒索软件的操作相比，”Mandiant 说.

“此外，HADES 的频繁代码更新和品牌重塑需要开发资源，UNC2165 将 LOCKBIT 的使用视为更具成本效益的选择是合理的。”

LockBit 勒索软件活动 (ID-Ransomware)
这种充当勒索软件即服务 (RaaS) 运营附属机构的新策略可能会让他们将勒索软件开发所需的时间投入到扩大该团伙的勒索软件部署运营中。

另一种理论是，切换到其他人的恶意工具可能会为 Evil Corp 提供足够的免费资源来从头开始开发新的勒索软件，从而使安全研究人员更难与该团伙以前的行动联系起来。

Mandiant 总结说：“我们希望这些行为者以及未来受到制裁的其他人采取此类措施来掩盖他们的身份，以确保这不是接收受害者付款的限制因素。”