Erkennung von Infektionen durch Cuba Ransomware-Bedrohungsgruppe: Neue Werkzeuge in Angriffen auf kritische Infrastrukturen in den USA angewandt
Inhaltsverzeichnis:
Seit 2019 aktiv, Cuba-Ransomware-Betreiber entwickeln ständig ihre Angriffsmethoden weiter und scheinen damit nicht aufzuhören. Die jüngsten bösartigen Operationen gegen Organisationen in den USA und Lateinamerika basieren auf einer Kombination aus neuen und älteren Werkzeugen. Besonders hinzugefügt haben die Cuba-Wartungsmitarbeiter ein Veeam-Exploit (CVE-2023-27532) zu ihrem offensiven Toolkit, um sensible Daten von den Zielbenutzern zu erhalten.
Cuba Ransomware Group-Angriffe erkennen
Mit anspruchsvolleren TTPs, die der Ransomware-Landschaft hinzugefügt wurden, bemühen sich Cybersicherheitsexperten, den Gegnern voraus zu sein und mögliche Eindringlinge in den frühesten Stadien zu erkennen. Die SOC Prime-Plattform für kollektive Cyberabwehr kuratiert eine Reihe relevanter Sigma-Regeln, um Sicherheitsakteuren proaktiv bei der Erkennung der sich ständig weiterentwickelnden Angriffsketten der Cuba-Ransomware zu helfen. Alle Erkennungsalgorithmen sind mit den führenden SIEM-, EDR-, XDR- und Data-Lake-Formaten kompatibel und werden auf MITRE ATT&CK v12.
Klicken Sie auf die Explore Detections -Schaltfläche unten, um den gesamten Richtungsstack mit kontextbezogenen Metadaten, einschließlich ATT&CK-Referenzen und CTI-Links, zu erhalten.
Analyse der Cuba-Ransomware-Angriffe
Cuba-Ransomware-Betreiber führen seit über vier Jahren bösartige Operationen durch und sind für Verteidiger zu einer harten Nuss geworden. Im Jahr 2021 verteilten Hacker SystemBC -Malware zusammen mit anderen bösartigen RaaS-Partnern, einschließlich DarkSide and und Ryuk. Im Jahr 2022 tauchte die Gruppe wieder auf, nutzte neue TTPs und ein ausgefeilteres Gegner-Toolkit, wie ROMCOM RAT, und missbrauchte die berüchtigte ZeroLogon-Schwachstelle, CVE-2020-1472. Im Oktober 2022 wurde das als Tropical Scorpius verfolgte Hacker-Kollektiv mit einer massiven Phishing-Kampagne gegen ukrainische Staatsorgane in Verbindung gebracht, wobei ein Lockvogel-Anhang verwendet und der ROMCOM-Backdoor.
verbreitet wurde. Die Cuba-Ransomware-Betreiber, angeblich mit den russischen Offensivkräften verbunden, experimentieren häufig mit verschiedenen Malware-Beispielen und offensiven Werkzeugen. Die Code-Analyse hat auch die Theorie über den russischen Ursprung der Gruppe unterstützt.
Im Jahr 2023 wurden Gegner hinter einer Reihe von raffinierten Eindringlingen beobachtet, die auf Unternehmen in verschiedenen Industriesektoren abzielten. Das BlackBerry-Team hat kürzlich Untersuchungen veröffentlicht über die Juni-Kampagne der Cuba-Maintainer, bei der Gegner Organisationen in den USA und Lateinamerika ins Visier nehmen. Hacker setzen Werkzeuge ein, die sich in früheren Gegner-Kampagnen als erfolgreich erwiesen haben, und nutzen gleichzeitig neue offensive Fähigkeiten. In den neuesten Angriffen versucht die Cuba-Bedrohungsgruppe, CVE-2023-27532, eine Schwachstelle in der Veeam Backup & Replication-Komponente, auszunutzen. Erfolgreiche Exploitation-Versuche ermöglichen Angreifern den Zugriff auf die Backup-Infrastruktur-Hosts.
Die Untersuchung der neuesten Cyberangriffe durch die oben genannte Gruppe durch BlackBerry-Forscher hat die Verwendung von BUGHATCH und BURNTCIGAR durch den Gegner aufgedeckt, Metasploit, und Cobalt Strike -Frameworks zusätzlich zu mehreren LOLBINS mit einigen öffentlich verfügbaren PoC-Exploit-Code-Beispielen.
Ähnlich wie viele Ransomware-Wartungsmitarbeiter wendet Cuba Doppel-Erpressung an, die es den Tätern ermöglicht, die sensiblen Daten der kompromittierten Benutzer zu exfiltrieren und gleichzeitig zu verschlüsseln, um die Opfer zu zwingen, ein Lösegeld zu zahlen. Im Herbst 2023 veröffentlichten CISA und FBI eine gemeinsamen Cybersicherheitswarnung um Verteidiger über die zunehmenden Bedrohungen im Zusammenhang mit der gegnerischen Aktivität der Cuba-Gruppe zu informieren und um Organisationen bei der Risikopositionierung ihrer Cybersicherheitslage zu helfen.
Cuba hat ähnliche TTPs während ihrer gesamten Aktivität im Cyberbedrohungsraum angewendet und sie 2023 leicht aktualisiert. Bei einem der jüngsten Angriffe auf die US-Organisationen setzten die Gegner eine Technik zur Wiederverwendung von Anmeldeinformationen ein. Zuvor gelang es ihnen, Sicherheitslücken oder Initial Access Brokers (IABs) auszunutzen, um den Zugriff auf die Zielsysteme aufrechtzuerhalten.
Normalerweise nutzt Cuba in den ersten Angriffsphasen den BUGHATCH-Downloader, um eine Verbindung zum C2 herzustellen und im weiteren Verlauf einer Nutzlast abzulegen, bösartige Befehle auszuführen oder präparierte Dateien zu aktivieren. Was Metasploit, betrifft, nutzen Hacker dieses Open-Source-Framework, um anfänglichen Zugriff auf die Zielumgebung zu erlangen. Sobald der Schaden angerichtet ist, entschlüsselt und führt die Malware einen Shellcode aus, der zur Ausführung einer Nutzlast führt.
Cuba nutzt gegnerische Techniken, um die Erkennung zu umgehen, nämlich die Bring Your Own Vulnerable Driver / Bring Your Own Driver (BYOVD)-Technik. Außerdem wurden Hacker dabei beobachtet, wie sie die bösartige Zerologon-Schwachstelle und die CVE-2023-27532-Schwachstelle verwendeten, letztere wurde auch von der Fin7-Gruppe im Frühjahr 2023 ausgenutzt.
Das Gegner-Toolkit der Cuba-Ransomware-Gruppe umfasst auch einen Satz von eingebauten Dienstprogrammen wie ping.exe zur Entdeckung und cmd.exe für das seitliche Verschieben in der kompromittierten Umgebung, während das Cobalt Strike Beacon für die Privilegienerhöhung und C2-Kommunikation genutzt wurde.
Cyberverteidiger empfehlen, zuverlässige E-Mail-Gateway- und Datensicherungslösungen anzuwenden, Multi-Faktor-Authentifizierung zu implementieren und Software ständig mittels der besten Patch-Management-Praktiken auf dem neuesten Stand zu halten, um Cuba-Ransomware-Bedrohungen rechtzeitig zu beheben.
Mit der Wiederbelebung der Aktivitäten der Cuba-Ransomware-Betreiber im Cyberbedrohungsraum versuchen progressive Organisationen proaktiv, Ransomware-Angriffe zu erkennen und die Cyber-Resilienz zukunftssicher zu machen. Nutzen Sie Uncoder AI zur Verbesserung der IOC-Zuordnung, zur Verbesserung der Qualität des Erkennungscodes und zur sofortigen Übersetzung Ihrer Sigma-Regeln in 44 SIEM-, EDR- und XDR-Sprachformate, während Sie eine Anbieterbindung vermeiden.