Threats

Descoberto novo ataque de ransomware do grupo Cuba

Uma investigação da Kaspersky revela novas amostras de malware atribuídas ao grupo de ransomware Cuba, capazes de fugir à deteção

19/09/2023

Descoberto novo ataque de ransomware do grupo Cuba

Na sua nova investigação, a Kaspersky analisou as atividades do grupo de ransomware Cuba, que recentemente implantou um malware capaz de evitar a deteção mais avançada. O ciberataque visou organizações de vários setores numa escala mundial.

Em dezembro de 2022, a Kaspersky descobriu no sistema de um cliente três ficheiros duvidosos, que despoletaram uma sequência de ações que culminaram no carregamento da biblioteca komar65, conhecida como BUGHATCH – um backdoor sofisticado que se instala na memória do processo.

O BUGHATCH executa um bloco de código de shell incorporado no espaço de memória que lhe é atribuído, utilizando a API do Windows, e liga-se a um servidor de Comando e Controlo (C2), aguardando instruções adicionais. O malware pode receber comandos para descarregar software, como o Cobalt Strike Beacon e o Metasploit. Segundo a Kaspersky, a utilização do Veeamp sugere fortemente que o grupo Cuba está envolvido no ciberataque.

O ficheiro PDB, em particular, referencia a pasta “komar”, uma palavra russa que significa “mosquito”, o que potencialmente indica a existência no grupo de membros que falam russo, a língua mais utilizada do Cuba.

A investigação da Kaspersky evidenciou a distribuição de módulos adicionais pelo grupo Cuba, melhorando a funcionalidade do malware. Um dos módulos é responsável por recolher a informação do sistema, enviada posteriormente para um servidor através de pedidos HTTP POST.

Para além disto, a Kaspersky revelou a descoberta de novas amostras de malware atribuídas ao Cuba no VirusTotal, algumas que previamente conseguiram fugir à deteção por outros fornecedores de segurança. Isto representa novas iterações do malware BURNTCIGAR, utilizando dados encriptados para evitar a deteção.

“As nossas últimas descobertas sublinham a importância do acesso aos mais recentes relatórios e informações sobre ameaças. À medida que os grupos de ransomware, como Cuba, evoluem e aperfeiçoam as suas táticas, manter-se à frente dos criminosos é crucial para mitigar eficazmente os potenciais ataques”, afirma Gleb Ivanov, especialista em cibersegurança da Kaspersky. “Com o cenário das ameaças em constante mudança, o conhecimento é a melhor defesa contra os cibercriminosos emergentes”.

O Cuba é um grupo de ransomware de ficheiro único e funciona sem bibliotecas adicionais, o que dificulta a sua deteção. Geralmente, visa setores como o retalho, finanças, logística, governo e indústria transformadora, particularmente em regiões na América do Norte, Europa, Oceânia e Ásia. 

Recorrendo a uma combinação de ferramentas públicas e proprietárias, os cibercriminosos atualizam com frequência o conjunto de ferramentas usadas e utilizam táticas como BYOVD (Bring Your Own Vulnerable Driver). Para além disto, o grupo de ransomware altera também os carimbos de data e hora da compilação para despistar os investigadores.

A operação do Cuba tem uma abordagem única, assente na encriptação de dados e na adaptação de ataques para extrair dados sensíveis, como documentos financeiros, registos bancários, contas de empresas e código fonte.

A Kaspersky alerta que as empresas de desenvolvimento de software estão particularmente em risco. 


NOTÍCIAS RELACIONADAS

RECOMENDADO PELOS LEITORES

REVISTA DIGITAL

IT SECURITY Nº21 Dezembro 2024

IT SECURITY Nº21 Dezembro 2024

NEWSLETTER

Receba todas as novidades na sua caixa de correio!

O nosso website usa cookies para garantir uma melhor experiência de utilização.