Rilevamento Ransomware Cuba: Gli Attori della Minaccia Tropical Scorpius Distribuiscono un Nuovo RAT Malware in Attacchi Mirati

Attacchi ransomware di alto profilo illustrano una tendenza crescente nell’arena delle minacce informatiche nel 2021-2022, con la maggior parte degli affiliati ransomware impegnati in vari programmi ransomware-as-a-service (RaaS). Nel maggio 2022, i ricercatori di cybersecurity hanno notato nuove campagne di avversari che distribuiscono ransomware Cuba attribuito all’attività malevola di un gruppo di hacker tracciato come Tropical Scorpius. In questi ultimi attacchi, gli attori della minaccia applicano nuove TTP e potenziano il loro toolkit avversario utilizzando nuovi malware soprannominati ROMCOM RAT e nuovi strumenti dannosi — uno strumento Kerberos noto come KerberCache e uno strumento sofisticato di escalation dei privilegi locali.

Rilevare il Ransomware Cuba

Poiché il panorama dei ransomware è arricchito da TTP più sofisticati, i professionisti della cybersecurity si sforzano di essere un passo avanti rispetto agli aggressori per combattere le minacce in crescita. La piattaforma Detection as Code di SOC Prime cura un set di regole Sigma recentemente rilasciate per aiutare i difensori informatici a difendersi proattivamente contro gli attacchi ransomware Cuba in continua evoluzione lanciati dagli hacker di Tropical Scorpius. Tutte le rilevazioni possono essere utilizzate su soluzioni SIEM, EDR e XDR leader del settore e sono allineate con il framework MITRE ATT&CK®. 

Segui i link sottostanti per ottenere immediatamente accesso alle regole Sigma dedicate direttamente dal motore di ricerca Cyber Threats di SOC Prime ed esplorare informazioni contestuali pertinenti. Questi algoritmi di rilevazione sono realizzati dai nostri prolifici sviluppatori del programma Threat Bounty, tra cui Nattatorn Chuensangarun, Onur Atali, e Aung Kyaw Min Naing (N0lan). Partecipando al programma Threat Bounty di SOC Prime, i Detection Engineers e i Threat Hunters hanno l’opportunità di monetizzare le loro competenze professionali e ricevere riconoscimenti da esperti del settore tramite la creazione di contenuti di rilevazione di alta qualità.

Possibile evasione della difesa del Ransomware Cuba configurando il driver del kernel sul file system (via process_creation)

Questa query di caccia curata sviluppata da Nattatorn Chuensangarun rileva l’attività sospetta del ransomware Cuba sfruttando un loader che scrive un driver del kernel nel file system denominato “ApcHelper.sys”. La rilevazione affronta le tattiche di esecuzione e impatto ATT&CK con le tecniche corrispondenti Command and Scripting Interpreter (T1059) e Service Stop (T1489).

Possibile esecuzione di Ransomware Cuba tramite il rilevamento di comandi associati (via process_creation)

Questa query di caccia alla minaccia creata da Onur Atali identifica l’esecuzione del ransomware Cuba tramite il rilevamento di comandi associati e cerca il file DLL malevolo utilizzato dal malware per trasferire file al server C2. La regola Sigma affronta le seguenti tattiche avversarie:

• Esecuzione — con le tecniche ATT&CK corrispondenti, tra cui Command and Scripting Interpreter (T1059) e User Execution (T1204)
• Impatto — con i dati criptati per l’impatto (T1486) e Disk Wipe (T1561) utilizzate come tecniche principali

Possibile rilevamento di cuba-ransomware-tropical-scorpius

Questa regola di caccia alla minaccia basata su Sigma rileva l’attività avversaria del gruppo Tropical Scorpius, inclusa l’esecuzione del servizio C2 trojan di accesso remoto. La rilevazione sopra affronta le tattiche di Persistenza ed Esecuzione con la creazione o modifica di processo di sistema appropriata (T1543) e tecniche di sistemi di servizi (T1569).

Per affrontare gli attacchi ransomware Cuba attuali e emergenti, clicca il pulsante Detect & Hunt qui sotto e accedi all’intera raccolta di regole Sigma dedicate. Per un’inchiesta mirata sulle minacce, anche i non registrati di SOC Prime possono premere il pulsante Explore Threat Context qui sotto e accedere all’elenco di algoritmi di rilevazione arricchiti di contesto per la rilevazione del ransomware Cuba accompagnati dai riferimenti MITRE ATT&CK e CTI e più rilevanti metadati.

pulsante Detect & Hunt pulsante Explore Threat Context

Descrizione del Ransomware Cuba

Basato sulle ultime ricerche del team di intelligence sulle minacce Unit 42, la famiglia del ransomware Cuba è emersa alla fine del 2019. Il ransomware Cuba (noto anche come COLDDRAW) è stato inizialmente diffuso tramite il malware Hancitor , che era comunemente scaricato tramite allegati malevoli sui sistemi impattati. I manutentori del ransomware Cuba sotto il moniker Tropical Scorpius, identificati anche come UNC2596, sono stati tracciati mentre sfruttano vulnerabilità nel Microsoft Exchange Server, inclusi ProxyShell e ProxyLogon. Nel 2021, i manutentori del ransomware Cuba sono riemersi, distribuendo il backdoor SystemBC nelle loro campagne malevoli, insieme ad altri noti collettivi RaaS, tra cui DarkSide e Ryuk.

Nel corso delle campagne malevoli del gruppo che risalgono al 2019, gli hacker di Tropical Scorpius hanno evoluto le loro TTP per trasformarsi in una minaccia più grave nel 2022. I ricercatori di cybersecurity hanno scoperto che gli attori delle minacce sopra menzionati sfruttano strumenti e tecniche anti-analisi sofisticati, incluso l’uso di un loader di driver del kernel che prende di mira i prodotti di sicurezza. Inoltre, gli attacchi più recenti del ransomware Cuba coinvolgono l’uso di uno strumento di escalation dei privilegi locali scaricato da un server remoto tramite codice PowerShell mirato a rubare il token di sistema. Per ottenere questo, gli aggressori sfruttano la vulnerabilità della logica del Windows Common Log File System (CLFS) tracciata come CVE-2022-24521. 

Gli sviluppatori del ransomware Cuba sfruttano anche diversi strumenti per attività di ricognizione di sistema facendoli cadere su sistemi compromessi con nomi accorciati per eludere la rilevazione. Oltre a utilizzare i popolari hacktools per il dump delle credenziali come Mimikatz, gli attori della minaccia Tropical Scorpius applicano anche un nuovo strumento Kerberos personalizzato tracciato come KerberCache, e sfruttano una notoria utilità ZeroLogon per sfruttare la falla di sicurezza CVE-2020-1472 e ottenere i diritti di Domain Administrator. Il toolkit avversario che illustra le ultime operazioni di ransomware Cuba è anche arricchito da un Trojan di accesso remoto (RAT) personalizzato soprannominato ROMCOM RAT, che contiene un protocollo C2 unico.

The adversary toolkit illustrating the latest Cuba ransomware operations is also enriched with a custom remote access Trojan (RAT) dubbed ROMCOM RAT, which contains a unique C2 protocol.

La tendenza crescente in attacchi ransomware Cuba più avanzati nel 2022 evidenzia la necessità di implementare strategie di rilevazione proattive per stare avanti agli aggressori. Partecipando a la piattaforma Detection as Code di SOC Prime, i difensori informatici possono potenziare le capacità di rilevazione delle minacce e accelerare la velocità di caccia delle minacce in modo più veloce ed efficiente. Gli appassionati di cybersecurity possono anche impegnarsi nel Threat Bounty di SOC Prime per affinare le loro abilità di Detection Engineering creando regole Sigma e YARA, condividendole con i colleghi del settore, e guadagnare benefici finanziari per i loro contributi.