Kaspersky ha presentato una ricerca sulle attività del famigerato gruppo ransomware Cuba, che ha recentemente distribuito un malware in grado di eludere il rilevamento avanzato e colpire le organizzazioni di tutto il mondo, lasciandosi alle spalle numerose aziende compromesse in vari settori.
Nel dicembre del 2022, Kaspersky ha rilevato un incidente nel sistema di un cliente, scoprendo tre file sospetti, che hanno innescato una sequenza di azioni volte a caricare la libreria komar65, nota anche come BUGHATCH.
BUGHATCH è una backdoor sofisticata che si installa nella process memory ed esegue un blocco integrato di shellcode all’interno della memoria assegnata, utilizzando l’API di Windows che comprende varie funzioni. Successivamente, si connette a un server Command and Control (C2), in attesa di ricevere ulteriori istruzioni, ad esempio il download di software come Cobalt Strike Beacon e Metasploit. L’utilizzo di Veeamp nell’attacco suggerisce il coinvolgimento di Cuba.
In particolare, il file PDB fa riferimento alla cartella “komar”, una parola russa che significa “zanzara”, indicando la potenziale presenza di membri di lingua russa all’interno del gruppo. Inoltre, un’ulteriore analisi di Kaspersky ha rivelato la presenza di moduli aggiuntivi, distribuiti dal gruppo Cuba, per migliorare le funzionalità del malware. Uno di questi moduli raccoglie le informazioni di sistema, che vengono inviate a un server attraverso richieste HTTP POST.
Proseguendo le indagini, Kaspersky ha scoperto nuovi modelli di malware attribuiti al gruppo Cuba su VirusTotal. Alcuni di questi campioni sono riusciti a eludere il rilevamento da parte di altri vendor di sicurezza, dal momento che si tratta di nuove versioni del malware BURNTCIGAR, che utilizzano dati crittografati per sfuggire al controllo degli antivirus.
“Le nostre ultime scoperte sottolineano quanto sia importante avere accesso ai report e alle informazioni relative alle minacce più recenti. Dato che i gruppi ransomware come Cuba si evolvono e affinano le proprie tattiche, è fondamentale essere sempre al passo con i tempi per mitigare efficacemente i potenziali attacchi. Con il panorama delle minacce informatiche in costante evoluzione, la conoscenza è la miglior difesa contro i criminali informatici”, ha dichiarato Gleb Ivanov, Cybersecurity Expert di Kaspersky.
Cuba è un ceppo di ransomware a file singolo, difficile da rilevare poiché opera senza librerie aggiuntive. Questo gruppo di lingua russa è conosciuto per la sua diffusione capillare e mira a settori come retail, finanza, logistica, pubblica amministrazione e industria in Nord America, Europa, Oceania e Asia. Utilizza un mix di strumenti pubblici e proprietari, aggiornando regolarmente il proprio toolkit e sfruttando tattiche come il BYOVD (Bring Your Own Vulnerable Driver).
Un tratto distintivo delle loro operazioni è l’alterazione dei timestamp di compilazione per ingannare gli investigatori. Per esempio, alcuni modelli scoperti nel 2020 riportavano come data di compilazione il 4 giugno 2020, mentre i timestamp delle versioni più recenti risultavano risalenti al 19 giugno 1992. Il loro approccio unico prevede non solo la crittografia dei dati, ma anche attacchi mirati personalizzati per ottenere dati sensibili, come documenti finanziari, registri bancari, conti aziendali e codici sorgente. Perciò, sono particolarmente a rischio le aziende di sviluppo di software. Nonostante Cuba sia conosciuto da tempo, continua a essere molto attivo e a perfezionare costantemente le proprie tecniche.
Il report completo è disponibile su Securelist.com.
Kaspersky incoraggia le aziende a seguire le seguenti best practice per difendersi dai ransomware:
· Aggiornare regolarmente tutti i dispositivi utilizzati, in modo che gli aggressori non possano sfruttare le vulnerabilità per infiltrarsi nella rete.
· Incentrare la propria strategia di difesa sul rilevamento dei movimenti laterali e dell’esfiltrazione dei dati su Internet, facendo attenzione al traffico in uscita per rilevare eventuali connessioni dei criminali informatici alla propria rete. Inoltre, è importante impostare un backup offline, che i criminali informatici non possano manomettere, e assicurarsi di potervi accedere rapidamente in caso di necessità o di emergenza.
· Abilitare la protezione ransomware per tutti gli endpoint. Kaspersky Anti-Ransomware Tool for Business è uno strumento gratuito per proteggere computer e server da ransomware e altri tipi di malware, prevenire gli exploit ed è compatibile con le soluzioni di sicurezza già in uso.
· Installare soluzioni anti-APT e EDR, che abilitano funzionalità per l’individuazione e il rilevamento delle minacce avanzate, per le indagini e la tempestiva risoluzione degli incidenti. Fornire al team SOC l’accesso alle più recenti informazioni sulle minacce e aggiornarlo regolarmente con corsi di formazione professionale. Tutto questo è disponibile nel framework Kaspersky Expert Security.
- Consentire al team SOC l’accesso a tutte le più recenti informazioni sulle minacce. Kaspersky Threat Intelligence Portal è un unico punto di accesso alla Threat Intelligence di Kaspersky, che fornisce dati e approfondimenti sui cyber attacchi, raccolti dal team Kaspersky in oltre 20 anni. Per aiutare le aziende a realizzare difese efficaci, Kaspersky ha reso disponibile l’accesso gratuito a informazioni indipendenti, sempre aggiornate e provenienti da tutto il mondo, relative alle minacce e agli attacchi informatici in corso. Per richiedere l’accesso a questa offerta cliccare qui.
