Cuba勒索软件集团正在开采Microsoft Exchange漏洞

美国资安业者Mandiant本周指出，Cuba勒索软件集团UNC2596最近经常藉由开采Microsoft Exchange安全漏洞的途径发动攻击，且经常锁定公用事业单位、政府组织，或是支持非营利组织与健康照护机构的特定组织，并有8成的受害者位于北美。

事实上，美国联邦调查局（FBI）去年12月就曾针对Cuba勒索软件提出警告，指出Cuba已成功入侵美国重大基础设施的49个实体，且黑客成功得手了4，390万美元的赎金。

Mandiant则公布了更多有关Cuba勒索软件的细节，包括迄今唯一使用Cuba勒索软件的黑客集团为UNC2596;主要锁定美国与加拿大的组织，北美受害者就占了8成;并不攻击提供紧急照护的医院或组织;以及入侵受害者组织的方法从垃圾邮件、恶意程序逐渐转为开采安全漏洞。

研究人员指出，UNC2596使用了许多公开与私有的工具，最近最常见的攻击途径是开采Microsoft Exchange的安全漏洞，诸如ProxyShell与ProxyLogon 等，该黑客集团会先侦查公开网络上含有漏洞的Microsoft Exchange系统，成功入侵之后再部署后门程序，接着使用也许是骇来或是买来的凭证于受害组织内部活动，企图扩张权限并侦查可加密的目标，最后才执行Cuba勒索软体。

此外，Mandiant也发现有愈来愈多的勒索软体骇客集团，选择开采安全漏洞作为入侵受害组织的第一步，涵盖UNC2596、UNC2447与FIN11等，除了因为可利用的公开漏洞逐年增加之外，透过此一方法的渗透成功率也高于恶意邮件。

Mandiant并未揭露UNC2596的背景，坊间亦无其它有关UNC2596黑客集团的说明，或许是Mandiant尚无法确定UNC2596的来源，也有可能是Mandiant使用了不同的名称。资安业者目前对于勒索软件、恶意软件或黑客集团的命名并无统一的标准，例如Mandiant将Cuba勒索软体称为Colddraw，把FBI所发现用来作为Cuba勒索软体入侵前锋的恶意程序Hancitor称为Chanitor。