Zum Hauptinhalt springen

Ransomware-Gruppe Cuba umgeht Erkennung durch Sicherheitslösungen mit neuer Malware

14. September 2023

Die berüchtigte Ransomware-Gruppe Cuba setzt eine neue Malware ein, mit der sich fortschrittliche Erkennungsverfahren umgehen lassen. Zur Viktimologie der Gruppe zählen Unternehmen weltweit, darunter auch in Deutschland und Österreich. Diese Ergebnisse gehen aus einer aktuellen Kaspersky-Analyse hervor [1].

Die berüchtigte Ransomware-Gruppe Cuba setzt eine neue Malware ein, mit der sich fortschrittliche Erkennungsverfahren umgehen lassen. Zur Viktimologie der Gruppe zählen Unternehmen weltweit, darunter auch in Deutschland und Österreich. Diese Ergebnisse gehen aus einer aktuellen Kaspersky-Analyse hervor [1].

Bei der Untersuchung eines Vorfalls bei einem Kunden im Dezember 2022 entdeckte Kaspersky drei verdächtige Dateien. Diese Dateien lösten eine Reihe von Aktionen aus, die zum Download der Bibliothek ,komar65‘, auch bekannt als ,BUGHATCH‘, führten. Bei BUGHATCH handelt es sich um eine ausgeklügelte Backdoor, die sich im Prozessspeicher eines Gerätes einnistet. Innerhalb des ihr zugewiesenen Speicherplatzes führt sie einen eingebetteten Shellcode-Block aus; hierzu verwendet sie eine Windows-API, die zahlreiche Funktionen umfasst. So können beispielsweise Befehle über einen Command-and-Control-Server zum Herunterladen von schädlicher Software wie Cobalt Strike Beacon und Metasploit empfangen werden.

Cuba mit aktualisiertem Toolkit weiterhin aktiv

Dass bei diesem Angriff auch Veeamp zum Einsatz kam, deutet stark auf eine Beteiligung der Ransomware-Gruppe Cuba hin. Zudem verweist die PDB-Datei auf den Ordner „komar“, das russische Wort für „Moskito“, was ein Indiz für die Präsenz russischsprachiger Mitglieder innerhalb der Gruppe sein könnte. Zudem fanden die Experten von Kaspersky weitere Module, die von der Cuba-Gruppe in Umlauf gebracht wurden und die Funktionalität der Malware erweitern. Eines dieser Module ist für das Sammeln von Systeminformationen verantwortlich, die dann über HTTP-POST-Anfragen an einen Server gesendet werden.

Bei Cuba handelt es sich um einen Single-File-Ransomware-Stamm, der aufgrund seiner Funktionsweise ohne zusätzliche Bibliotheken nur schwer zu erkennen ist. Die Angreifer setzen eine Mischung aus öffentlichen und proprietären Tools ein, aktualisieren ihr Toolkit regelmäßig und nutzen Taktiken wie BYOVD (Bring Your Own Vulnerable Driver).

Ein Hauptmerkmal ihrer Vorgehensweise ist das Fälschen von Kompilierungs-Zeitstempeln, um Sicherheitsexperten in die Irre zu führen. So wiesen beispielsweise einige im Jahr 2020 gefundene Samples ein Kompilierungsdatum vom 4. Juni 2020 auf, während die Zeitstempel neuerer Versionen als Datum den 19. Juni 1992 vorgaben. Die besondere Vorgehensweise von Cuba umfasst nicht nur die Verschlüsselung von Daten, sondern auch individuell ausgerichtete Angriffe zur Extraktion sensibler Daten und Informationen wie Finanzdokumente, Bankunterlagen, Firmenkonten und Quellcode. Insbesondere Softwareentwicklungsfirmen sind hier gefährdet.

Einsatz von BURNTCIGAR verhindert Erkennung durch Antivirenprogramme

Im Zuge weiterer Untersuchungen stießen die Kaspersky Experten bei VirusTotal auf neue Malware-Samples, die der Cuba-Gruppe zugeschrieben werden. Einige dieser Samples konnten die Entdeckung durch andere Sicherheitsanbieter umgehen. Hierbei half eine neue Version der BURNTCIGAR-Malware, die sich mit verschlüsselten Daten der Erkennung durch Antivirenprogramme entziehen kann.

„Unsere jüngsten Erkenntnisse unterstreichen, wie wichtig der Zugang zu aktuellen Analysen und Bedrohungsdaten ist“, betont Gleb Ivanov, Sicherheitsexperte bei Kaspersky. „Da Ransomware-Gruppen wie Cuba immer neue Methoden entwickeln und ihre Taktiken ständig verbessern, ist es entscheidend, ihnen immer einen Schritt voraus zu sein, um potenzielle Angriffe wirksam abwehren zu können. Im Hinblick auf die sich ständig verändernde Bedrohungslage ist Wissen die beste Verteidigung gegen aufstrebende Cyberkriminelle.“

Kaspersky-Empfehlungen zum Schutz vor Ransomware

  • Software auf allen Geräten stets auf dem neuesten Stand halten, um zu verhindern, dass Angreifer Schwachstellen ausnutzen und in das Netzwerk eindringen können.

  • Die Verteidigungsstrategie auf die Erkennung von lateralen Bewegungen und Datenlecks im Internet konzentrieren. Dabei besonders auf ausgehenden Datenverkehr achten, um die Verbindungen von Cyberkriminellen zu einem Netzwerk zu erkennen.

  • Offline-Backups einrichten, die nicht manipuliert werden können, und sicherstellen, dass bei Bedarf oder im Notfall schnell auf diese Daten zugegriffen werden kann.

  • Ransomware-Schutz auf allen Endgeräten aktivieren. Das kostenfrei erhältliche Kaspersky Anti-Ransomware Tool for Business [2] schützt Computer und Server vor Ransomware und anderen Arten von Malware, verhindert Exploits und ist mit bereits installierten Sicherheitslösungen kompatibel.

  • Anti-APT- und EDR-Lösungen implementieren, die Bedrohungen frühzeitig erkennen und blockieren können. Das SOC-Team regelmäßig durch professionelle Schulungen weiterbilden. All dies ist im Rahmen von Kaspersky Expert Security [3] möglich.

  • Dem SOC-Team den Zugriff auf die neuesten Bedrohungsdaten (TI) gewähren, beispielsweise über das Kaspersky Threat Intelligence Portal [4]. Dieses bietet Cyberangriffsdaten und Erkenntnisse aus über 25 Jahren Forschungstätigkeit. Um Unternehmen in diesen turbulenten Zeiten einen effektiven Schutz zu gewährleisten, bietet Kaspersky zudem einen kostenlosen Zugang zu unabhängigen, ständig aktualisierten und weltweit verfügbaren Informationen über aktuelle Cyberangriffe und Bedrohungen an. Dieser kann über https://go.kaspersky.com/uchub#form angefordert werden.

Weitere Informationen zu Cuba sind verfügbar unter https://securelist.com/cuba-ransomware/110533/     

[1] https://securelist.com/cuba-ransomware/110533/

[2] https://www.kaspersky.com/anti-ransomware-tool

[3] https://www.kaspersky.de/enterprise-security

[4] https://go.kaspersky.com/test-threat-intelligence-de.html

 

Nützliche Links:

Ransomware-Gruppe Cuba umgeht Erkennung durch Sicherheitslösungen mit neuer Malware

Die berüchtigte Ransomware-Gruppe Cuba setzt eine neue Malware ein, mit der sich fortschrittliche Erkennungsverfahren umgehen lassen. Zur Viktimologie der Gruppe zählen Unternehmen weltweit, darunter auch in Deutschland und Österreich. Diese Ergebnisse gehen aus einer aktuellen Kaspersky-Analyse hervor [1].
Kaspersky logo

Über Kaspersky

Kaspersky ist ein internationales Unternehmen für Cybersicherheit und digitale Privatsphäre, das im Jahr 1997 gegründet wurde. Der Cybersicherheitsanbieter schützt über eine Milliarde Geräte vor Cyberbedrohungen und zielgerichteten Angriffen. Die tiefgreifende Threat Intelligence sowie Sicherheitsexpertise von Kaspersky dient als Grundlage für innovative Sicherheitslösungen und -dienste, um Unternehmen, kritische Infrastrukturen, Regierungen und Privatanwender weltweit zu schützen. Das umfassende Sicherheitsportfolio des Unternehmens beinhaltet führenden Endpoint-Schutz sowie eine Reihe spezialisierter Sicherheitslösungen und -Services sowie Cyber-Immune-Lösungen zur Verteidigung gegen komplexe und sich weiter entwickelnder Cyberbedrohungen. Über 200.000 Unternehmenskunden werden von den Technologien von Kaspersky geschützt. Weitere Informationen zu Kaspersky unter kaspersky.de.

Verwandter Artikel Pressemitteilungen