Kompanija Kaspersky predstavila je istraživanje o aktivnostima poznate ransomware grupe prepoznatljive pod nazivom Cuba (Kuba). Ova sajber-kriminalna grupa nedavno je koristila malver koji je zaobišao napredne oblike detekcije, ciljajući i kompromitujući kompanije u različitim industrijama.
U decembru 2022. godine, kompanija Kaspersky otkrila je sumnjiv incident (tri fajla) u sistemu jednog od svojih klijenata. Ovi fajlovi su pokrenuli sekvencu koja je rezultirala učitavanjem biblioteke komar65, poznate i kao BUGHATCH.
BUGHATCH je sofisticirani backdoor koji se ostavlja u procesnoj memoriji i izvršava ugrađeni blok shellkoda unutar memorije koristeći Windows API, što uključuje različite funkcije. Nakon toga, povezuje se sa Command and Control (C2) serverom i čeka dalje instrukcije. Može primati naredbe za preuzimanje softvera poput Cobalt Strike Beacon i Metasploit. Upotreba Veeamp-a u napadu ukazuje na umešanost grupe Cuba.
Važno je napomenuti da PDB fajl kao referencu koristi „komar“, rusku reč za komarca, što ukazuje na potencijalno prisustvo članova grupe koji govore ruski. Dalja analiza kompanije Kaspersky otkrila je dodatne module koje je Cuba distribuirala, sa ciljem da unaprede funkcionalnost malvera. Jedan modul služi za prikupljanje informacija o sistemu koje se potom šalju serveru preko HTTP POST zahteva.
Nastavljajući istragu, kompanija Kaspersky je otkrila nove uzorke malvera pripisane grupi Cuba na VirusTotal-u. Neki od ovih uzoraka, konkretnije nove verzije malvera BURNTCIGAR koje koriste šifrovane podatke, uspeli su da izbegnu detekciju drugih bezbednosnih kompanija.
„Naša najnovija saznanja naglašavaju važnost pristupa najnovijim izveštajima i obaveštenjima o pretnjama. Kako se grupe ransomware-a poput Cube razvijaju i usavršavaju svoje taktike, važno je ostati korak ispred kako bismo efikasno suzbili potencijalne napade. U svetlu svakodnevnih razvoja pretnji na internetu, znanje je najbolja odbrana protiv novih kibernetičkih kriminalaca“, rekao je Gleb Ivanov, stručnjak za sajber bezbednost kompanije Kaspersky.
Cuba je ransomware napadač u obliku jednog fajla, težak za otkrivanje zbog toga što operiše bez dodatnih biblioteka. Ova grupa koja govori ruski poznata je po svom širokom delovanju i cilja industrije poput maloprodaje, finansija, logistike, vlada i proizvodnje širom Severne Amerike, Evrope, Okeanije i Azije. Koriste miks javnih i vlasničkih alatki, redovno ažuriraju svoj arsenal i koriste taktike poput BYOVD („Donesi svoj ranjivi drajver“).
Njihova karakteristika je menjanje vremenskih oznaka kompilacije kako bi zavarali istražitelje. Na primer, neki uzorci pronađeni 2020. godine imali su datum kompilacije 4. juna 2020. godine, dok su vremenske oznake na novijim verzijama prikazane kao da potiču od 19. juna 1992. godine. Njihov jedinstveni pristup uključuje ne samo šifrovanje podataka, već i prilagođavanje napada kako bi se izvukle osetljive informacije poput finansijskih dokumenata, bankovni zapisi, korporativni računi i izvorni kod. Razvojni timovi za softver su posebno ugroženi. Iako su već neko vreme u središtu pažnje, ova grupa ostaje dinamična, konstantno usavršavajući svoje tehnike.
Ukoliko želite da pročitate potpuni izveštaj o Cuba ransomware-u, posetite Securelist.com.
Kako bi zaštitili svoje organizacije od napada ransomware-a, kompanije Kaspersky predlaže pridržavanje bezbednosnih praksi:
- Uvek održavajte softver ažuriranim na svim uređajima koje koristite, kako biste sprečili napadače da iskoriste ranjivosti i inficiraju vašu mrežu.
- Usredsredite svoju odbrambenu strategiju na otkrivanje lateralnih kretanja i curenje podataka na internet. Posebno obratite pažnju na odlazni saobraćaj kako biste otkrili veze kibernetičkih kriminalaca sa vašom mrežom. Obezbedite offline rezervne kopije koje ne mogu biti narušene od strane napadača, a kojima ćete imati brz pristup kad god je potrebno ili u hitnim situacijama.
- Uključite zaštitu od ransomware-a na svim krajevima (endpoints). Možete se služiti besplatnim Kaspersky Anti-Ransomware Tool for Business koji štiti računare i servere od ransomware-a i drugih vrsta malvera, sprečava eksploatacije i kompatibilan je sa već instaliranim sigurnosnim rešenjima.
- Instalirajte rešenja za zaštitu od ciljanih napada (anti-APT) i rešenja za otkrivanje i odgovor na pretnje (EDR), omogućavajući napredne sposobnosti za otkrivanje i prepoznavanje pretnji, istraživanje i pravovremeno rešavanje incidenata. Obezbedite vašem SOC timu najnovija obaveštenja o pretnjama i redovno ih usavršavajte profesionalnom obukom. Sve navedeno dostupno je unutar Kaspersky Expert Security Kaspersky Threat Intelligence Portal je jedna tačka za pristup TI resursima kompanije Kaspersky, pružajući podatke o kibernetičkim napadima i uvide koje je tim prikupljao tokom više od 20 godina. Kako biste pomogli preduzećima da omoguće efikasnu odbranu u ovim turbulentnim vremenima, kompanija Kaspersky najavila je pristup nezavisnim, kontinuirano ažuriranim i globalno prikupljenim informacijama o aktuelnim kibernetičkim napadima i pretnjama, bez naknade. Zahtev za pristup ovom resursu možete podneti ovde.