Detección de Ransomware Cuba: Actores de Amenazas Tropical Scorpius Despliegan Nuevo Malware RAT en Ataques Dirigidos

Los ataques de ransomware de alto perfil ilustran una tendencia creciente en el ámbito de las amenazas cibernéticas en 2021-2022, con la mayoría de los afiliados de ransomware involucrados en varios programas de ransomware-como-servicio (RaaS). En mayo de 2022, los investigadores de ciberseguridad notaron nuevas campañas adversarias desplegando ransomware Cuba, atribuidas a la actividad maliciosa de un grupo de hackers rastreados como Tropical Scorpius. En estos últimos ataques, los actores de la amenaza aplican nuevas TTP y mejoran su kit de herramientas adversarias con el uso de nuevo malware denominado ROMCOM RAT y nuevas herramientas maliciosas: una herramienta de Kerberos conocida como KerberCache y una sofisticada herramienta de escalación de privilegios locales.

Detectar Ransomware Cuba

Dado que el panorama del ransomware se enriquece con TTP más sofisticadas, los practicantes de ciberseguridad se esfuerzan por estar un paso adelante de los atacantes para combatir las amenazas en escalada. La plataforma Detection as Code de SOC Prime selecciona un conjunto de nuevas reglas Sigma para ayudar a los defensores cibernéticos a defenderse proactivamente contra los ataques de ransomware Cuba que evolucionan activamente lanzados por los hackers de Tropical Scorpius. Todas las detecciones se pueden usar en soluciones SIEM, EDR y XDR líderes de la industria y están alineadas con el marco MITRE ATT&CK®. 

Siga los enlaces a continuación para obtener acceso instantáneo a las reglas Sigma dedicadas directamente desde el Motor de Búsqueda de Amenazas Cibernéticas de SOC Prime y explore información contextual relevante. Estos algoritmos de detección son creados por nuestros prolíficos desarrolladores del Programa de Recompensa por Amenazas, incluidos Nattatorn Chuensangarun, Onur Atali, y Aung Kyaw Min Naing (N0lan). Al unirse al Programa de Recompensa por Amenazas de SOC Prime, los Ingenieros de Detección y Cazadores de Amenazas tienen la oportunidad de monetizar sus habilidades profesionales y recibir reconocimiento de expertos de la industria a través de la creación de contenido de detección de alta calidad.

Evadir la Defensa del Ransomware Cuba Posible configurando un controlador del núcleo al sistema de archivos (a través de process_creation)

Esta consulta de caza seleccionada, desarrollada por Nattatorn Chuensangarun, detecta la actividad sospechosa del ransomware Cuba aprovechando un cargador que escribe un controlador del núcleo en el sistema de archivos llamado “ApcHelper.sys”. La detección aborda las tácticas ATT&CK de Ejecución e Impacto con las técnicas correspondientes de Intérprete de Comandos y Secuencias de Comandos (T1059) y Detener Servicio (T1489).

Posible Ejecución de Ransomware Cuba mediante Detección de Comandos Asociados (a través de process_creation)

Esta consulta de caza de amenazas, elaborada por Onur Atali, identifica la ejecución de ransomware Cuba mediante la detección de comandos asociados y busca el archivo DLL malicioso utilizado por el malware para transferir archivos al servidor C2. La regla Sigma aborda las siguientes tácticas adversarias:

• Ejecución — con sus correspondientes técnicas ATT&CK, incluyendo Intérprete de Comandos y Secuencias de Comandos (T1059) y Ejecución de Usuario (T1204)
• Impacto — con Datos Cifrados para Impacto (T1486) y Limpiar Disco (T1561) usadas como sus técnicas principales

Posible detección de cuba-ransomware-tropical-scorpius

Esta regla basada en Sigma para caza de amenazas detecta la actividad adversaria del grupo Tropical Scorpius, incluyendo el uso de un servicio troyano de acceso remoto (C2) en la ruta de ejecución. La detección anterior aborda las tácticas de Persistencia y Ejecución con las técnicas apropiadas de Crear o Modificar Proceso del Sistema (T1543) y Servicios del Sistema (T1569).

Para enfrentar los ataques actuales y emergentes del ransomware Cuba, haga clic en el Detectar & Cazar botón a continuación y acceda a toda la colección de reglas Sigma dedicadas. Para una investigación de amenazas optimizada, los usuarios no registrados de SOC Prime también pueden presionar el botón Explorar Contexto de Amenazas a continuación y acceder a la lista de algoritmos de detección enriquecidos con contexto para la detección del ransomware Cuba acompañada de referencias MITRE ATT&CK y CTI y más metadatos relevantes.

Detectar & Cazar Explorar Contexto de Amenazas

Descripción del Ransomware Cuba

Basado en la última investigación del equipo de inteligencia de amenazas de Unit 42, la familia de ransomware Cuba apareció a finales de 2019. El ransomware Cuba (también conocido como COLDDRAW) fue inicialmente distribuido a través del malware Hancitor , que comúnmente se descargaba mediante archivos adjuntos maliciosos en los sistemas afectados. Los mantenedores del ransomware Cuba bajo el seudónimo de Tropical Scorpius, también identificados como UNC2596, han sido rastreados explotando vulnerabilidades en Microsoft Exchange Server, incluyendo ProxyShell y ProxyLogon. En 2021, los mantenedores del ransomware Cuba resurgieron desplegando SystemBC backdoor en sus campañas maliciosas, junto con otros colectivos de RaaS notorios, incluyendo DarkSide y Ryuk.

A lo largo de las campañas maliciosas del grupo desde 2019, los hackers de Tropical Scorpius han estado evolucionando sus TTP para transformarse en una amenaza más severa en 2022. Investigadores de ciberseguridad han descubierto que los actores de amenaza anteriormente mencionados se aprovechan de sofisticadas herramientas y técnicas de anti-análisis, incluyendo el uso de un cargador de controlador del núcleo que apunta a productos de seguridad. Además, los últimos ataques de ransomware Cuba involucran el uso de una herramienta de escalada de privilegios locales descargada de un servidor remoto mediante código PowerShell destinado a robar el token del Sistema. Para lograr esto, los atacantes explotan la vulnerabilidad de lógica del Sistema de Archivo de Registro Común de Windows (CLFS) rastreada como CVE-2022-24521. 

Los desarrolladores del ransomware Cuba también usan múltiples herramientas para actividades de reconocimiento del sistema dejándolas caer en sistemas comprometidos con nombres acortados para evadir la detección. Además de utilizar las populares herramientas de hackeo para volcado de credenciales como Mimikatz, los actores de amenaza Tropical Scorpius también aplican una nueva herramienta personalizada de Kerberos rastreada como KerberCache, y aprovechan una notoria utilidad ZeroLogon para explotar la vulnerabilidad CVE-2020-1472 y obtener derechos de Administrador del Dominio.

El kit de herramientas adversarias que ilustra las últimas operaciones del ransomware Cuba también se enriquece con un troyano de acceso remoto (RAT) personalizado llamado ROMCOM RAT, que contiene un protocolo C2 único.

La tendencia emergente en ataques de ransomware Cuba más avanzados durante 2022 resalta la necesidad de implementar estrategias de detección proactiva para adelantarse a los atacantes. Al unirse a la plataforma Detection as Code de SOC Prime, los defensores cibernéticos pueden aumentar las capacidades de detección de amenazas y acelerar la velocidad de caza de amenazas de manera más rápida y eficiente. Los entusiastas de la ciberseguridad también pueden participar en el Programa de Recompensa por Amenazas de SOC Prime para perfeccionar sus habilidades en Ingeniería de Detección al crear reglas Sigma y YARA, compartirlas con sus pares de la industria, y obtener beneficios financieros por sus contribuciones.