Home » News » Cybersecurity » Neue Ransomware umgeht Erkennung durch Sicherheitslösungen

Neue Ransomware umgeht Erkennung durch Sicherheitslösungen

Eine neue Malware, entwickelt von der gefürchteten Ransomware-Gruppe Cuba, hat die Fähigkeit, fortschrittliche Erkennungssysteme zu überlisten. Diese Gruppe hat Unternehmen auf der ganzen Welt ins Visier genommen, einschließlich solcher in Deutschland und Österreich.

1 Min. Lesezeit
Eine futuristische Panzertür wird von leuchtenden Linien in Blau und Orange erhellt. Ein großes, markantes digitales Vorhängeschloss weist auf hochtechnologische Sicherheitsaspekte hin, ähnlich wie Neuer Ransomware die Erkennung durch moderne Sicherheitslösungen umgeht und so Mysteriösität mit fortschrittlicher Technologie verbindet.
Foto: ©AdobeStock/oleksandr.info

Im Dezember 2022 untersuchte Kaspersky einen Vorfall bei einem Kunden und entdeckte drei verdächtige Dateien. Diese Dateien lösten Aktionen aus, die zur Installation der „komar65“-Bibliothek, auch bekannt als „BUGHATCH“, führten. BUGHATCH ist eine komplexe Backdoor, die sich im Arbeitsspeicher eines Geräts versteckt und dort einen eingebetteten Shellcode-Block ausführt. Dieser verwendet eine Windows-API mit zahlreichen Funktionen und ermöglicht es, Befehle über einen Command-and-Control-Server zum Herunterladen schädlicher Software wie Cobalt Strike Beacon und Metasploit zu empfangen.

Die Verwendung von Veeamp in diesem Angriff deutet stark auf die Ransomware-Gruppe Cuba hin. Eine PDB-Datei im Zusammenhang mit dem Angriff verwies auf den Ordner „komar“, was das russische Wort für „Moskito“ ist und auf russischsprachige Mitglieder innerhalb der Gruppe hinweisen könnte. Kaspersky-Experten entdeckten auch weitere Module, die von der Cuba-Gruppe entwickelt wurden und die Funktionen der Malware erweitern. Ein solches Modul sammelt Systeminformationen und sendet sie über HTTP-POST-Anfragen an einen Server.

Cuba ist eine Single-File-Ransomware-Gruppe, die ohne zusätzliche Bibliotheken schwer zu erkennen ist. Die Angreifer verwenden eine Kombination aus öffentlichen und eigenen Tools, aktualisieren ihr Toolkit regelmäßig und nutzen Taktiken wie BYOVD (Bring Your Own Vulnerable Driver).

Eine besondere Taktik von Cuba besteht darin, Kompilierungs-Zeitstempel zu fälschen, um Sicherheitsexperten zu verwirren. Beispielsweise wiesen einige 2020 gefundene Samples ein Kompilierungsdatum vom 4. Juni 2020 auf, während neuere Versionen Zeitstempel aus dem Jahr 1992 verwendeten. Cuba verschlüsselt nicht nur Daten, sondern führt auch gezielte Angriffe durch, um sensible Informationen wie Finanzdokumente, Bankunterlagen, Firmenkonten und Quellcode zu extrahieren. Insbesondere Softwareentwicklungsfirmen sind gefährdet.

In weiteren Untersuchungen stießen die Kaspersky-Experten auf neue Malware-Samples, die der Cuba-Gruppe zugeordnet werden. Einige dieser Samples konnten von anderen Sicherheitsanbietern nicht erkannt werden, da sie eine neue Version der BURNTCIGAR-Malware verwenden, die verschlüsselte Daten verwendet, um der Erkennung durch Antivirenprogramme zu entgehen.

Gleb Ivanov, Sicherheitsexperte bei Kaspersky, betonte die Bedeutung aktueller Analysen und Bedrohungsdaten. Angesichts der ständig wachsenden Fähigkeiten und Taktiken von Ransomware-Gruppen wie Cuba sei es entscheidend, stets einen Schritt voraus zu sein, um Angriffe effektiv abwehren zu können. In dieser sich ständig ändernden Bedrohungslage sei Wissen die beste Verteidigung gegen aufstrebende Cyberkriminelle.

 

Weitere Informationen zu Cuba sind hier verfügbar.

Andere interessante News

Cyber-Resilienz Konzept auf Laptop in Serverraum

Wie Unternehmen ihre Cyber-Resilienz stärken können

Immer mehr Sicherheitsverantwortliche fordern: Die Risikobewertung von Drittanbietern muss fester Bestandteil jeder Cyber-Resilienz-Strategie werden. Einheitliche Standards fehlen ...

Virenwarnung auf dem Computerbildschirm

Report: Exploits bleiben häufigster Angriffsvektor für Erstinfektionen

Ein neuer, tiefgreifender Report bündelt die wichtigsten Erkenntnisse des Jahres 2024 – direkt aus den Schaltzentralen weltweiter Cyberermittlungen und aus dem Krisenmanagement nac...

Reihe von Netzwerkservern mit leuchtenden LED-Lichtern.

Warum starke IT nicht automatisch für Sicherheit steht

Vier von fünf Beschäftigten vertrauen auf die Kompetenz ihrer IT-Abteilung – doch genau dieses Vertrauen kann trügen. Werden Investitionen in die IT-Sicherheit vernachlässigt, stei...