Οι ερευνητές ασφαλείας της Kaspersky έκαναν μια επιπλέον έρευνα για τις δραστηριότητες της φημισμένης ομάδας ransomware γνωστής ως Cuba. Σύμφωνα με μια νέα ενημέρωση που δημοσιεύθηκε από την Kaspersky νωρίτερα σήμερα, η φημισμένη εγκληματική συμμορία κυβερνοεγκληματιών έχει στόχο οργανισμούς σε όλο τον κόσμο, καλύπτοντας διάφορους τομείς.
Δείτε επίσης: Το MetaStealer malware στοχεύει Apple macOS σε πρόσφατες επιθέσεις
Το τεχνικό άρθρο αποκαλύπτει ότι τον Δεκέμβριο του 2022, η Kaspersky ανίχνευσε ένα ύποπτο περιστατικό σε ένα σύστημα ενός πελάτη. Αυτό το αρχικό εύρημα έφερε στο φως τρία μυστηριώδη αρχεία που οδήγησαν στην ενεργοποίηση της βιβλιοθήκης komar65, γνωστή και ως BUGHATCH.
Το BUGHATCH είναι ένα εξελιγμένο backdoor που λειτουργεί στη μνήμη διεργασιών και συνδέεται με έναν διακομιστή Command-and-Control (C2) για λήψη οδηγιών. Αυτό το κακόβουλο λογισμικό μπορεί να κατεβάσει λογισμικό όπως το Cobalt Strike Beacon και το Metasploit. Επίσης, η χρήση τρωτών σημείων στο λογισμικό δημιουργίας αντιγράφων ασφαλείας Veeam υποδηλώνει έντονα τη συμμετοχή του Cuba.
Δείτε επίσης: Sponsor malware: Ιρανοί χάκερς χρησιμοποιούν backdoor σε 34 οργανισμούς
Η έρευνα της Kaspersky αποκάλυψε επίσης την παρουσία ρωσόφωνων μελών μέσα στην ομάδα, που υποδεικνύεται από αναφορές στον φάκελο “komar”, που μεταφράζεται σε “κουνούπι” στα ρωσικά. Η ομάδα έχει βελτιώσει περαιτέρω τις δυνατότητες του κακόβουλου λογισμικού με πρόσθετα modules, συμπεριλαμβανομένου ενός υπέυθυνου για τη συλλογή και αποστολή πληροφοριών συστήματος σε έναν διακομιστή μέσω αιτημάτων HTTP POST.
Επιπλέον, η Kaspersky ανακάλυψε νέα δείγματα κακόβουλου λογισμικού που αποδίδονται στο Cuba στο VirusTotal, μερικά από τα οποία είχαν αποφύγει την ανίχνευση από άλλους προμηθευτές ασφαλείας. Αυτά τα δείγματα αντιπροσωπεύουν ενημερωμένες εκδόσεις του BURNTCIGAR malware, που ενσωματώνουν κρυπτογραφημένα δεδομένα για να αποφεύγουν την ανίχνευση από antivirus προγράμματα.
Το Cuba, ένα στέλεχος ransomware single-file, λειτουργεί χωρίς πρόσθετα libraries, γεγονός που καθιστά δύσκολο τον εντοπισμό του. Αυτή η ρωσόφωνη ομάδα στοχεύει διάφορες βιομηχανίες σε ολόκληρη τη Βόρεια Αμερική, την Ευρώπη, την Ωκεανία και την Ασία, χρησιμοποιώντας τόσο δημόσια όσο και ιδιόκτητα εργαλεία. Ενημερώνουν συνεχώς την εργαλειοθήκη τους και χρησιμοποιούν τακτικές όπως το BYOVD (Bring Your Own Vulnerable Driver). Συγκεκριμένα, χειραγωγούν τις χρονικές σημάνσεις συλλογής για να παραπλανήσουν τους ερευνητές.
Δείτε επίσης: Messenger: Phishing μηνύματα στοχεύουν Facebook business accounts
Παρά την παρουσία του στο επίκεντρο της κυβερνοασφάλειας για μεγάλο διάστημα, το Cuba παραμένει δυναμικό και συνεχώς βελτιώνει τεχνικές όπως η κρυπτογράφηση δεδομένων και εξατομικευμένες επιθέσεις για την απόσπαση ευαίσθητων πληροφοριών.
Στην έκθεση, η Kaspersky τόνισε τη σημασία της παραμονής ενημερωμένης και ενεργητικής έναντι των εξελισσόμενων κυβερνοαπειλών και ενθάρρυνε τους οργανισμούς να ακολουθήσουν τις βέλτιστες πρακτικές για προστασία από ransomware.
Πηγή πληροφοριών: infosecurity-magazine.com
