Kaspersky ha presentato una ricerca sulle attività del famigerato gruppo ransomware Cuba, che ha recentemente distribuito un malware in grado di eludere il rilevamento avanzato e colpire le organizzazioni di tutto il mondo, lasciandosi alle spalle numerose aziende compromesse in vari settori.
Nel dicembre del 2022, Kaspersky ha rilevato un incidente nel sistema di un cliente, scoprendo tre file sospetti, che hanno innescato una sequenza di azioni volte a caricare la libreria komar65, nota anche come BUGHATCH.
BUGHATCH è una backdoor sofisticata che si installa nella process memory ed esegue un blocco integrato di shellcode all’interno della memoria assegnata, utilizzando l’API di Windows che comprende varie funzioni. Successivamente, si connette a un server Command and Control (C2), in attesa di ricevere ulteriori istruzioni, ad esempio il download di software come Cobalt Strike Beacon e Metasploit. L’utilizzo di Veeamp nell’attacco suggerisce il coinvolgimento di Cuba.
In particolare, il file PDB fa riferimento alla cartella “komar”, una parola russa che significa “zanzara”, indicando la potenziale presenza di membri di lingua russa all’interno del gruppo. Inoltre, un’ulteriore analisi di Kaspersky ha rivelato la presenza di moduli aggiuntivi, distribuiti dal gruppo Cuba, per migliorare le funzionalità del malware. Uno di questi moduli raccoglie le informazioni di sistema, che vengono inviate a un server attraverso richieste HTTP POST.
Proseguendo le indagini, Kaspersky ha scoperto nuovi modelli di malware attribuiti al gruppo Cuba su VirusTotal. Alcuni di questi campioni sono riusciti a eludere il rilevamento da parte di altri vendor di sicurezza, dal momento che si tratta di nuove versioni del malware BURNTCIGAR, che utilizzano dati crittografati per sfuggire al controllo degli antivirus.
“Le nostre ultime scoperte sottolineano quanto sia importante avere accesso ai report e alle informazioni relative alle minacce più recenti. Dato che i gruppi ransomware come Cuba si evolvono e affinano le proprie tattiche, è fondamentale essere sempre al passo con i tempi per mitigare efficacemente i potenziali attacchi. Con il panorama delle minacce informatiche in costante evoluzione, la conoscenza è la miglior difesa contro i criminali informatici”, ha dichiarato Gleb Ivanov, Cybersecurity Expert di Kaspersky.
Cuba è un ceppo di ransomware a file singolo, difficile da rilevare poiché opera senza librerie aggiuntive. Questo gruppo di lingua russa è conosciuto per la sua diffusione capillare e mira a settori come retail, finanza, logistica, pubblica amministrazione e industria in Nord America, Europa, Oceania e Asia. Utilizza un mix di strumenti pubblici e proprietari, aggiornando regolarmente il proprio toolkit e sfruttando tattiche come il BYOVD (Bring Your Own Vulnerable Driver).
Un tratto distintivo delle loro operazioni è l’alterazione dei timestamp di compilazione per ingannare gli investigatori. Per esempio, alcuni modelli scoperti nel 2020 riportavano come data di compilazione il 4 giugno 2020, mentre i timestamp delle versioni più recenti risultavano risalenti al 19 giugno 1992. Il loro approccio unico prevede non solo la crittografia dei dati, ma anche attacchi mirati personalizzati per ottenere dati sensibili, come documenti finanziari, registri bancari, conti aziendali e codici sorgente. Perciò, sono particolarmente a rischio le aziende di sviluppo di software. Nonostante Cuba sia conosciuto da tempo, continua a essere molto attivo e a perfezionare costantemente le proprie tecniche.
