Grupo de ransomware Cuba descarta malware indetectável

Da Redação
12/09/2023

Pesquisadores de segurança da Kaspersky rastrearam atividades do grupo de ransomware conhecido como Cuba. De acordo com um novo comunicado publicado pela empresa nesta segunda-feira, 11, a famigerada gangue de cibercriminosos tem como alvo organizações em todo o mundo, abrangendo vários setores.

A nota técnica mostra que, em dezembro de 2022, a Kaspersky detectou um incidente suspeito no sistema de um cliente. Esta descoberta inicial desenterrou três arquivos misteriosos que levaram à ativação da biblioteca komar65, também conhecida como BUGHATCH, uma sofisticada backdoor que opera na memória de processo, conectando-se a um servidor de comando e controle (C&C) para receber instruções. Esse malware pode baixar softwares como Cobalt Strike Beacon e Metasploit, e seu uso de vulnerabilidades no software de backup da Veeamp sugere fortemente o envolvimento de Cuba.

A investigação da Kaspersky também revelou a presença de membros de língua russa dentro do grupo, indicada por referências à pasta “komar”, que se traduz como “mosquito” em russo. O grupo aprimorou ainda mais os recursos do malware com módulos adicionais, incluindo um responsável por coletar e enviar informações do sistema para um servidor por meio de solicitações HTTP Post.

Além disso, a empresa de cibersegurança descobriu novas amostras de malware atribuídas ao Cuba no VirusTotal, algumas das quais escaparam da detecção por outros fornecedores de segurança. Esses exemplos representam versões atualizadas do malware BURNTCIGAR, incorporando dados criptografados para evitar a detecção de antivírus.

O Cuba, uma variedade de ransomware de arquivo único, opera sem bibliotecas adicionais, tornando-se difícil de detectar. Esse grupo de língua russa visa várias indústrias na América do Norte, Europa, Oceania e Ásia, empregando ferramentas públicas e proprietárias. Eles atualizam continuamente seu kit de ferramentas e usam táticas como BYOVD (Bring Your Own Vulnerable Driver, ou traga seu próprio driver vulnerável). Notavelmente, eles manipulam carimbos de data/hora de compilação para enganar os investigadores.

Veja isso
Ransomware Cuba hackeia servidores Exchange
Grupo usa bug da Veeam para atacar infraestruturas críticas

Apesar de sua longa presença sob os holofotes da segurança cibernética, o Cuba permanece dinâmico e refina constantemente suas técnicas, incluindo criptografia de dados e ataques personalizados para extrair informações confidenciais.

No relatório, a Kaspersky enfatizou a importância de se manter informada e proativa contra ameaças cibernéticas em evolução e encorajou as organizações a seguirem as melhores práticas para se proteger contra ransomware.”Nossas descobertas mais recentes ressaltam a importância do acesso aos relatórios mais recentes e à inteligência de ameaças. À medida que gangues de ransomware como o Cuba evoluem e refinam suas táticas, manter-se à frente da curva é crucial para mitigar efetivamente possíveis ataques”, explicou Gleb Ivanov, especialista em segurança cibernética da Kaspersky. “Com o cenário em constante mudança das ameaças cibernéticas, o conhecimento é a defesa definitiva contra os cibercriminosos emergentes.”

Compartilhar: