Home » News » Cybersecurity » Neue Ransomware umgeht Erkennung durch Sicherheitslösungen

Neue Ransomware umgeht Erkennung durch Sicherheitslösungen

Eine neue Malware, entwickelt von der gefürchteten Ransomware-Gruppe Cuba, hat die Fähigkeit, fortschrittliche Erkennungssysteme zu überlisten. Diese Gruppe hat Unternehmen auf der ganzen Welt ins Visier genommen, einschließlich solcher in Deutschland und Österreich.

1 Min. Lesezeit
Foto: ©AdobeStock/oleksandr.info

Im Dezember 2022 untersuchte Kaspersky einen Vorfall bei einem Kunden und entdeckte drei verdächtige Dateien. Diese Dateien lösten Aktionen aus, die zur Installation der „komar65“-Bibliothek, auch bekannt als „BUGHATCH“, führten. BUGHATCH ist eine komplexe Backdoor, die sich im Arbeitsspeicher eines Geräts versteckt und dort einen eingebetteten Shellcode-Block ausführt. Dieser verwendet eine Windows-API mit zahlreichen Funktionen und ermöglicht es, Befehle über einen Command-and-Control-Server zum Herunterladen schädlicher Software wie Cobalt Strike Beacon und Metasploit zu empfangen.

Die Verwendung von Veeamp in diesem Angriff deutet stark auf die Ransomware-Gruppe Cuba hin. Eine PDB-Datei im Zusammenhang mit dem Angriff verwies auf den Ordner „komar“, was das russische Wort für „Moskito“ ist und auf russischsprachige Mitglieder innerhalb der Gruppe hinweisen könnte. Kaspersky-Experten entdeckten auch weitere Module, die von der Cuba-Gruppe entwickelt wurden und die Funktionen der Malware erweitern. Ein solches Modul sammelt Systeminformationen und sendet sie über HTTP-POST-Anfragen an einen Server.

Cuba ist eine Single-File-Ransomware-Gruppe, die ohne zusätzliche Bibliotheken schwer zu erkennen ist. Die Angreifer verwenden eine Kombination aus öffentlichen und eigenen Tools, aktualisieren ihr Toolkit regelmäßig und nutzen Taktiken wie BYOVD (Bring Your Own Vulnerable Driver).

Eine besondere Taktik von Cuba besteht darin, Kompilierungs-Zeitstempel zu fälschen, um Sicherheitsexperten zu verwirren. Beispielsweise wiesen einige 2020 gefundene Samples ein Kompilierungsdatum vom 4. Juni 2020 auf, während neuere Versionen Zeitstempel aus dem Jahr 1992 verwendeten. Cuba verschlüsselt nicht nur Daten, sondern führt auch gezielte Angriffe durch, um sensible Informationen wie Finanzdokumente, Bankunterlagen, Firmenkonten und Quellcode zu extrahieren. Insbesondere Softwareentwicklungsfirmen sind gefährdet.

In weiteren Untersuchungen stießen die Kaspersky-Experten auf neue Malware-Samples, die der Cuba-Gruppe zugeordnet werden. Einige dieser Samples konnten von anderen Sicherheitsanbietern nicht erkannt werden, da sie eine neue Version der BURNTCIGAR-Malware verwenden, die verschlüsselte Daten verwendet, um der Erkennung durch Antivirenprogramme zu entgehen.

Gleb Ivanov, Sicherheitsexperte bei Kaspersky, betonte die Bedeutung aktueller Analysen und Bedrohungsdaten. Angesichts der ständig wachsenden Fähigkeiten und Taktiken von Ransomware-Gruppen wie Cuba sei es entscheidend, stets einen Schritt voraus zu sein, um Angriffe effektiv abwehren zu können. In dieser sich ständig ändernden Bedrohungslage sei Wissen die beste Verteidigung gegen aufstrebende Cyberkriminelle.

 

Weitere Informationen zu Cuba sind hier verfügbar.

Andere interessante News

Cybersecurity-Konzept Netzwerksicherheit

Über die Hälfte deutscher Unternehmen von Netzwerkangriffen betroffen

Deutsche Unternehmen kämpfen mit zahlreichen Sicherheitsvorfällen: 54 Prozent berichten von Netzwerkangriffen, 42 Prozent von ausgeführtem Schadcode im Firmennetzwerk. Bedenklich: ...

Untersuchung eines System-Problems mit Lupe

Schwachstelle zur Umgehung von UEFI Secure Boot entdeckt

Eine gravierende Schwachstelle gefährdet die Sicherheit von UEFI Secure Boot: Angreifer könnten die Schutzmechanismen umgehen und unautorisierte Software starten. Microsoft reagier...

Backup & Recovery

Backup und Recovery: Fünf Trends für 2025

Strengere Vorschriften und wachsende Cybergefahren erhöhen den Druck auf Unternehmen, ihre Daten bestmöglich zu schützen. Doch traditionelle Ansätze reichen nicht mehr aus. Experte...