Detecção de Ransomware Cuba: Atores de Ameaças Scorpius Tropical Implantam Novo Malware RAT em Ataques Direcionados

Ataques de ransomware de alto perfil ilustram uma tendência crescente na arena de ameaças cibernéticas em 2021-2022, com a maioria dos afiliados de ransomware engajados em vários programas de ransomware como serviço (RaaS). Em maio de 2022, pesquisadores de segurança cibernética notaram novas campanhas adversárias implantando o ransomware Cuba, atribuído à atividade maliciosa de um grupo de hackers rastreado como Tropical Scorpius. Nesses ataques mais recentes, os agentes de ameaça aplicam novas TTPs e aprimoram seu kit de ferramentas adversário com o uso de um novo malware chamado ROMCOM RAT e novas ferramentas maliciosas — uma ferramenta Kerberos conhecida como KerberCache e uma sofisticada ferramenta de elevação de privilégio local.

Detectar Ransomware Cuba

Como o cenário de ransomware é enriquecido com TTPs mais sofisticadas, os profissionais de segurança cibernética estão se esforçando para estar um passo à frente dos atacantes para combater as ameaças crescentes. A plataforma de Detecção como Código da SOC Prime seleciona um conjunto de regras Sigma recentemente lançadas para ajudar os defensores cibernéticos a se defenderem proativamente contra ataques de ransomware Cuba em evolução ativa lançados pelos hackers do Tropical Scorpius. Todas as detecções podem ser usadas em soluções líderes do setor como SIEM, EDR e XDR e estão alinhadas com a estrutura MITRE ATT&CK®. 

Siga os links abaixo para ganhar acesso instantâneo às regras Sigma dedicadas diretamente do Motor de Busca de Ameaças Cibernéticas da SOC Prime e explore informações contextuais relevantes. Estes algoritmos de detecção são criados pelos nossos prolíficos desenvolvedores do Programa Threat Bounty, incluindo Nattatorn Chuensangarun, Onur Atali, e Aung Kyaw Min Naing (N0lan). Ao aderir ao Programa de Recompensa por Ameaças da SOC Prime, Engenheiros de Detecção e Caçadores de Ameaças ganham a oportunidade de monetizar suas habilidades profissionais e receber reconhecimento de especialistas da indústria através da autoria de conteúdo de detecção de alta qualidade.

Possível Evasão de Defesa do Ransomware Cuba Configurando Driver de Kernel no Sistema de Arquivos (via criação_de_processo)

Esta consulta de caça desenvolvida por Nattatorn Chuensangarun detecta a atividade suspeita de ransomware Cuba aproveitando um carregador que escreve um driver de kernel no sistema de arquivos nomeado ‘ApcHelper.sys’. A detecção aborda as táticas de Execução e Impacto da ATT&CK com as técnicas correspondentes Command and Scripting Interpreter (T1059) e Service Stop (T1489).

Possível Execução de Ransomware Cuba por Detecção de Comandos Associados (via criação_de_processo)

Esta consulta de caça a ameaças criada por Onur Atali identifica a execução de ransomware Cuba pela detecção de comandos associados e pesquisa o arquivo DLL malicioso usado pelo malware para transferir arquivos para o servidor C2. A regra Sigma aborda as seguintes táticas adversárias:

• Execução — com suas técnicas ATT&CK correspondentes, incluindo Command and Scripting Interpreter (T1059) e User Execution (T1204)
• Impacto — com Data Encrypted for Impact (T1486) e Disk Wipe (T1561) usadas como suas principais técnicas

Possível detecção de cuba-ransomware-tropical-scorpius

Esta regra baseada em Sigma de caça a ameaças detecta a atividade adversária do grupo Tropical Scorpius, inclusive o uso de caminho de execução de serviço C2 de Trojan de Acesso Remoto. A detecção acima aborda as táticas de Persistência e Execução com as técnicas apropriadas Create or Modify System Process (T1543) e System Services (T1569).

Para enfrentar ataques de ransomware Cuba atuais e emergentes, clique no Detectar & Caçar botão abaixo e acesse toda a coleção de regras Sigma dedicadas. Para uma investigação de ameaças simplificada, os usuários não registrados da SOC Prime também podem pressionar o Explorar Contexto de Ameaças botão abaixo e acessar a lista de algoritmos de detecção enriquecidos com contexto para detecção de ransomware Cuba acompanhada por referências MITRE ATT&CK e CTI e mais metadados relevantes.

Detectar & Caçar Explorar Contexto de Ameaças

Descrição do Ransomware Cuba

Com base nas últimas pesquisas da equipe de inteligência de ameaças da Unit 42, a família de ransomware Cuba surgiu no final de 2019. O ransomware Cuba (também conhecido como COLDDRAW) foi inicialmente espalhado via malware Hancitor , que era comumente distribuído por anexos maliciosos nos sistemas impactados. Os mantenedores do ransomware Cuba sob o pseudônimo Tropical Scorpius, também identificados como UNC2596, foram rastreados explorando vulnerabilidades no Microsoft Exchange Server, incluindo ProxyShell e ProxyLogon. Em 2021, os mantenedores do ransomware Cuba ressurgiram, implantando backdoor SystemBC em suas campanhas maliciosas, junto com outros conhecidos coletivos de RaaS, incluindo DarkSide e Ryuk.

Ao longo das campanhas maliciosas do grupo que remontam a 2019, os hackers do Tropical Scorpius têm evoluído suas TTPs para se transformarem em uma ameaça mais severa em 2022. Pesquisadores de segurança cibernética descobriram que os agentes de ameaça acima mencionados aproveitam ferramentas e técnicas anti-análise sofisticadas, incluindo o uso de um carregador de driver de kernel que visa produtos de segurança. Além disso, os últimos ataques de ransomware Cuba envolvem o uso de uma ferramenta de elevação de privilégio local baixada de um servidor remoto por meio de código PowerShell com o objetivo de roubar o token do Sistema. Para alcançar isso, os atacantes exploram a vulnerabilidade de lógica do Windows Common Log File System (CLFS) rastreada como CVE-2022-24521. 

Os desenvolvedores do ransomware Cuba também aproveitam várias ferramentas para atividades de reconhecimento do sistema, deixando-as em sistemas comprometidos com nomes abreviados para evitar detecção. Além de usar ferramentas de hacking populares para vazamento de credenciais, como Mimikatz, os atores da ameaça Tropical Scorpius também aplicam uma nova ferramenta Kerberos personalizada rastreada como KerberCache, e tiram proveito de uma notória utilidade ZeroLogon para explorar a falha de segurança CVE-2020-1472 e obter direitos de Administrador de Domínio. O kit de ferramentas adversárias que ilustra as operações mais recentes do ransomware Cuba também é enriquecido com um Trojan de acesso remoto (RAT) personalizado chamado ROMCOM RAT, que contém um protocolo C2 único.

A tendência crescente de ataques mais avançados de ransomware Cuba ao longo de 2022 destaca a necessidade de implementar estratégias de detecção proativa para ficar à frente dos atacantes. Ao aderir à

The rising trend in more advanced Cuba ransomware attacks throughout 2022 highlights the need for implementing proactive detection strategies to stay ahead of attackers. By joining plataforma Detecção como Código da SOC Prime, os defensores cibernéticos podem aumentar as capacidades de detecção de ameaças e acelerar a velocidade de caça de ameaças de uma maneira mais rápida e eficiente. Entusiastas da segurança cibernética também podem se engajar no Programa de Recompensa por Ameaças da SOC Prime para aprimorar suas habilidades de Engenharia de Detecção criando regras Sigma e YARA, compartilhando-as com colegas da indústria, e ganhando benefícios financeiros por suas contribuições.