Détection du Ransomware Cuba : Les acteurs de la menace Scorpius Tropical déploient un nouveau malware RAT dans des attaques ciblées

Attaques de ransomware de grande envergure illustrent une tendance croissante dans l’arène des cybermenaces en 2021-2022, avec la majorité des affiliés de ransomware engagés dans divers programmes de ransomware-as-a-service (RaaS). En mai 2022, des chercheurs en cybersécurité ont remarqué des campagnes de nouveaux adversaires déployant le ransomware Cuba attribué à l’activité malveillante d’un groupe de hackers suivi sous le nom de Tropical Scorpius. Dans ces dernières attaques, les acteurs de la menace appliquent de nouvelles TTP et améliorent leur arsenal d’adversaire avec l’utilisation d’un nouveau malware appelé ROMCOM RAT et d’outils malveillants novateurs — un outil Kerberos connu sous le nom de KerberCache et un outil d’escalade de privilège local sophistiqué.

Détecter le ransomware Cuba

Étant donné que le paysage des ransomware s’enrichit de TTP plus sophistiquées, les praticiens en cybersécurité s’efforcent de garder une longueur d’avance sur les attaquants pour combattre les menaces croissantes. La plateforme Detection as Code de SOC Prime propose un ensemble de règles Sigma pour aider les cyber-défenseurs à se défendre de manière proactive contre les attaques de ransomware Cuba en évolution active lancées par les hackers de Tropical Scorpius. Toutes les détections peuvent être utilisées sur les solutions SIEM, EDR et XDR de l’industrie et sont alignées sur le cadre MITRE ATT&CK®. 

Suivez les liens ci-dessous pour accéder instantanément aux règles Sigma dédiées directement depuis le moteur de recherche des menaces cybernétiques de SOC Prime et explorer les informations contextuelles pertinentes. Ces algorithmes de détection sont conçus par nos prolifiques développeurs du programme Threat Bounty, y compris Nattatorn Chuensangarun, Onur Atali, et Aung Kyaw Min Naing (N0lan). En rejoignant le programme Threat Bounty de SOC Prime, les ingénieurs en détection et les chasseurs de menaces ont l’opportunité de monétiser leurs compétences professionnelles et de recevoir la reconnaissance des experts du secteur en rédigeant des contenus de détection de haute qualité.

Évasion potentielle de la défense du ransomware Cuba en configurant le pilote du noyau au système de fichiers (via process_creation)

Cette requête de chasse minutieusement développée par Nattatorn Chuensangarun détecte l’activité suspecte du ransomware Cuba exploitant un chargeur qui écrit un pilote de noyau dans le système de fichiers nommé ‘ApcHelper.sys’. La détection aborde les tactiques d’Exécution et d’Impact ATT&CK avec les techniques correspondantes d’Interprète de Commande et de Script (T1059) et d’Arrêt de Service (T1489).

Exécution possible du ransomware Cuba par détection de commandes associées (via process_creation)

Cette requête de chasse aux menaces conçue par Onur Atali identifie l’exécution du ransomware Cuba par la détection de commandes associées et recherche le fichier DLL malveillant utilisé par le malware pour transférer des fichiers vers le serveur C2. La règle Sigma aborde les tactiques d’adversaire suivantes:

• Exécution — avec ses techniques ATT&CK correspondantes, y compris Interprète de Commande et de Script (T1059) et Exécution par l’utilisateur (T1204)
• Impact — avec Données chiffrées pour Impact (T1486) et Effacement de Disque (T1561) utilisées comme ses principales techniques

Détection possible de cuba-ransomware-tropical-scorpius

Cette règle de chasse aux menaces basée sur Sigma détecte l’activité adversaire du groupe Tropical Scorpius, y compris l’utilisation d’une exécution de service C2 de cheval de Troie d’accès à distance. La détection ci-dessus aborde les tactiques de Persistance et d’Exécution avec les techniques appropriées de Création ou Modification de Processus Système (T1543) et Services Système (T1569).

Pour confronter les attaques de ransomware Cuba actuelles et émergentes, cliquez sur le Détecter & Chasser bouton ci-dessous et accédez à l’ensemble complet des règles Sigma dédiées. Pour une enquête sur les menaces simplifiée, les utilisateurs non enregistrés de SOC Prime peuvent également cliquer sur le Explorer le Contexte de Menace bouton ci-dessous et accéder à la liste des algorithmes de détection enrichis de contexte pour la détection du ransomware Cuba accompagnée de références MITRE ATT&CK et CTI et plus de métadonnées pertinentes.

Détecter & Chasser Explorer le Contexte de Menace

Description du ransomware Cuba

Basé sur les dernières recherches de l’équipe de renseignement sur les menaces de Unit 42, la famille de ransomware Cuba est apparue sur la scène à la fin de 2019. Le ransomware Cuba (également connu sous le nom de COLDDRAW) a été initialement diffusé via le malware Hancitor , qui était couramment déposé via des pièces jointes malveillantes sur les systèmes impactés. Les mainteneurs du ransomware Cuba sous le surnom Tropical Scorpius, également identifié comme UNC2596, ont été suivis exploitant des vulnérabilités dans le serveur Microsoft Exchange, y compris ProxyShell et ProxyLogon. En 2021, les mainteneurs du ransomware Cuba ont refait surface, déployant le cheval de Troie d’accès à distance (RAT) SystemBC dans leurs campagnes malveillantes, ainsi qu’avec d’autres collectifs RaaS notoires, y compris DarkSide et Ryuk.

Au cours des campagnes malveillantes du groupe remontant à 2019, les hackers de Tropical Scorpius ont fait évoluer leurs TTP pour se transformer en une menace plus sévère en 2022. Les chercheurs en cybersécurité ont découvert que les acteurs de la menace susmentionnés profitent d’outils et de techniques sophistiqués d’anti-analyse, y compris l’utilisation d’un chargeur de pilote de noyau ciblant les produits de sécurité. En outre, les dernières attaques de ransomware Cuba impliquent l’utilisation d’un outil d’escalade de privilèges local téléchargé depuis un serveur distant par le biais de code PowerShell visant à voler le jeton Système. Pour y parvenir, les attaquants exploitent la vulnérabilité de logique du Système de Fichiers de Journal Commun Windows (CLFS) suivie sous le nom CVE-2022-24521. 

Les développeurs du ransomware Cuba tirent également parti de plusieurs outils pour les activités de reconnaissance système en les déposant sur des systèmes compromis avec des noms raccourcis pour échapper à la détection. En plus d’utiliser les outils de piratage populaires pour le dump des informations d’identification comme Mimikatz, les acteurs de la menace de Tropical Scorpius appliquent également un nouvel outil Kerberos personnalisé suivi sous le nom de KerberCache, et profitent d’une utilitaire notoire ZeroLogon pour exploiter la faille de sécurité CVE-2020-1472 et obtenir les droits d’administrateur de domaine.

L’arsenal des adversaires illustrant les dernières opérations de ransomware Cuba est également enrichi d’un cheval de Troie d’accès à distance (RAT) personnalisé appelé ROMCOM RAT, qui contient un protocole C2 unique.

La tendance croissante vers des attaques de ransomware Cuba plus avancées tout au long de 2022 souligne la nécessité de mettre en œuvre des stratégies de détection proactive pour rester en avance sur les attaquants. En rejoignant la plateforme Detection as Code de SOC Prime, les cyber-défenseurs peuvent améliorer les capacités de détection des menaces et accélérer la vitesse de chasse aux menaces de manière plus rapide et plus efficace. Les passionnés de cybersécurité peuvent également s’engager dans le programme Threat Bounty de SOC Prime pour affiner leurs compétences en ingénierie de détection en rédigeant des règles Sigma et YARA, en les partageant avec leurs pairs de l’industrie, et en obtenant des bénéfices financiers pour leurs contributions.