Neue Ransomware umgeht Erkennung durch Sicherheitslösungen
Eine neue Malware, entwickelt von der gefürchteten Ransomware-Gruppe Cuba, hat die Fähigkeit, fortschrittliche Erkennungssysteme zu überlisten. Diese Gruppe hat Unternehmen auf der ganzen Welt ins Visier genommen, einschließlich solcher in Deutschland und Österreich.
Im Dezember 2022 untersuchte Kaspersky einen Vorfall bei einem Kunden und entdeckte drei verdächtige Dateien. Diese Dateien lösten Aktionen aus, die zur Installation der „komar65“-Bibliothek, auch bekannt als „BUGHATCH“, führten. BUGHATCH ist eine komplexe Backdoor, die sich im Arbeitsspeicher eines Geräts versteckt und dort einen eingebetteten Shellcode-Block ausführt. Dieser verwendet eine Windows-API mit zahlreichen Funktionen und ermöglicht es, Befehle über einen Command-and-Control-Server zum Herunterladen schädlicher Software wie Cobalt Strike Beacon und Metasploit zu empfangen.
Die Verwendung von Veeamp in diesem Angriff deutet stark auf die Ransomware-Gruppe Cuba hin. Eine PDB-Datei im Zusammenhang mit dem Angriff verwies auf den Ordner „komar“, was das russische Wort für „Moskito“ ist und auf russischsprachige Mitglieder innerhalb der Gruppe hinweisen könnte. Kaspersky-Experten entdeckten auch weitere Module, die von der Cuba-Gruppe entwickelt wurden und die Funktionen der Malware erweitern. Ein solches Modul sammelt Systeminformationen und sendet sie über HTTP-POST-Anfragen an einen Server.
Cuba ist eine Single-File-Ransomware-Gruppe, die ohne zusätzliche Bibliotheken schwer zu erkennen ist. Die Angreifer verwenden eine Kombination aus öffentlichen und eigenen Tools, aktualisieren ihr Toolkit regelmäßig und nutzen Taktiken wie BYOVD (Bring Your Own Vulnerable Driver).
Eine besondere Taktik von Cuba besteht darin, Kompilierungs-Zeitstempel zu fälschen, um Sicherheitsexperten zu verwirren. Beispielsweise wiesen einige 2020 gefundene Samples ein Kompilierungsdatum vom 4. Juni 2020 auf, während neuere Versionen Zeitstempel aus dem Jahr 1992 verwendeten. Cuba verschlüsselt nicht nur Daten, sondern führt auch gezielte Angriffe durch, um sensible Informationen wie Finanzdokumente, Bankunterlagen, Firmenkonten und Quellcode zu extrahieren. Insbesondere Softwareentwicklungsfirmen sind gefährdet.
In weiteren Untersuchungen stießen die Kaspersky-Experten auf neue Malware-Samples, die der Cuba-Gruppe zugeordnet werden. Einige dieser Samples konnten von anderen Sicherheitsanbietern nicht erkannt werden, da sie eine neue Version der BURNTCIGAR-Malware verwenden, die verschlüsselte Daten verwendet, um der Erkennung durch Antivirenprogramme zu entgehen.
Gleb Ivanov, Sicherheitsexperte bei Kaspersky, betonte die Bedeutung aktueller Analysen und Bedrohungsdaten. Angesichts der ständig wachsenden Fähigkeiten und Taktiken von Ransomware-Gruppen wie Cuba sei es entscheidend, stets einen Schritt voraus zu sein, um Angriffe effektiv abwehren zu können. In dieser sich ständig ändernden Bedrohungslage sei Wissen die beste Verteidigung gegen aufstrebende Cyberkriminelle.
Weitere Informationen zu Cuba sind hier verfügbar.