FBI und CISA warnen vor Cuba Hackern

In einem kürzlich veröffentlichten Cybersecurity-Alert der CISA und des FBI wird davor gewarnt, dass sowohl die Zahl der von der Ransomware-Gruppe Cuba angegriffenen Organisationen als auch die geforderten Lösegeldsummen stark zugenommen haben. Laut der Warnung zielen die Ransomware-Angriffe auf kritische Infrastrukturen, Finanzdienstleistungen, das Gesundheitswesen, Informationstechnologie, Regierungsdienste und mehr. In der Warnung wird darauf hingewiesen, dass die Cuba Ransomware-Bande trotz ihres Namens keine Verbindung zum Land Kuba hat.

Mit Stand vom August 2022 – dem aktuellsten Datum, für das Informationen zur Verfügung stehen – warnt das FBI, dass die Ransomware-Angreifer über 100 Opfer auf der ganzen Welt kompromittiert und Lösegeldzahlungen in Höhe von über 145 Millionen US-Dollar gefordert haben, wobei 60 Millionen US-Dollar an Erpressungsgeldern eingegangen sind. Die Gruppe führt doppelte Erpressungsangriffe durch, indem sie nicht nur Daten verschlüsselt und ein Lösegeld fordert, sondern auch damit droht, die gestohlenen Daten des Opfers freizugeben, wenn das in Bitcoin geforderte Lösegeld nicht gezahlt wird.

Die gemeinsame Empfehlung von CISA und FBI folgt auf eine frühere Warnung vor Cuba-Ransomware im Dezember 2021. Die neue Warnung wurde herausgegeben, weil die Zahl der Angriffe gestiegen ist und weil die Cyberkriminellen ihre Techniken erweitert haben, um Angriffe schwieriger zu erkennen und damit effektiver zu machen.

Zu diesen Methoden gehören die Ausnutzung einer Schwachstelle im Windows Common Log File System (CLFS)-Treiber (CVE-2022-24521), um System-Token zu stehlen und die Berechtigungen zu erhöhen, sowie die Verwendung eines PowerShell-Skripts zur Identifizierung von Dienstkonten, um mehr Zugriff auf hochrangige Systemsteuerungen zu erhalten.

Cuba-Ransomware-Angriffe wurden auch unter Ausnutzung von Zerologon, einer Schwachstelle im Microsoft Windows-Authentifizierungsprotokoll Netlogon (CVE-2020-1472), beobachtet, um Domänenverwaltungsrechte zu erlangen. Zerologon wurde im September 2020 entdeckt und damals als „inakzeptables Risiko“ bezeichnet – aber auch über zwei Jahre später sind Angreifer immer noch in der Lage, diese Schwachstelle auszunutzen.

Wie in der vorangegangenen Warnung beschrieben, nutzt Cuba Ransomware unter anderem bekannte Schwachstellen in kommerzieller Software, Phishing-Kampagnen, den Missbrauch gestohlener Benutzernamen und Passwörter und die Ausnutzung legitimer RDP-Anwendungen (Remote Desktop Protocol), um sich Zugang zu den Opfern zu verschaffen.

Nachdem sie sich Zugang verschafft haben, setzen die Cyberkriminellen Hancitor ein, eine Malware-Nutzlast, die es ihnen ermöglicht, auf einfache Weise wieder Zugang zu kompromittierten Netzwerken zu erlangen und dort Aktivitäten auszuführen – und die schließlich dazu verwendet wird, die Ransomware-Nutzlast abzulegen und auszuführen.

Das FBI und die CISA geben Netzwerk-Verteidigern mehrere Empfehlungen für Sicherheitsmaßnahmen, die sie ergreifen sollten, um zu verhindern, dass Angreifer mit gängigen Techniken in das Netzwerk eindringen und Ransomware installieren können.

Eine der wichtigsten Empfehlungen ist, alle Betriebssysteme, Software und Firmware mit den neuesten Sicherheitsupdates auf dem neuesten Stand zu halten – insbesondere wenn bekannt ist, dass Cyberkriminelle aktiv auf Schwachstellen wie CVE-2022-24521 und CVE-2020-1472 abzielen.

„Das rechtzeitige Einspielen von Patches ist eine der effizientesten und kostengünstigsten Maßnahmen, die ein Unternehmen ergreifen kann, um seine Gefährdung durch Cybersecurity-Bedrohungen zu minimieren“, heißt es in der Sicherheitsempfehlung.

ZDNet.de Redaktion

Recent Posts

Konsolidierte und strukturierte Daten für medizinische Versorgung

Telekom und vitagroup stellen Kliniken offene Plattform zur Verfügung, die Gesundheitsdaten unabhängig von einzelnen Herstellern…

1 Tag ago

Zahl der Webauftritte sinkt wieder

Auch 2023 war kein gutes Jahr für die Hoster von KMU-Webseiten. Erneut schlossen viele Mittelständler…

1 Tag ago

Pwn2Own: Google verteilt Sicherheitsupdate für Chrome

Es schließt zwei schwerwiegende Lücken, die eine Remotecodeausführung erlauben. Darüber hinaus stopft Google ein kritisches…

2 Tagen ago

IT-Verzicht fürs Klima – wie viele sind dazu bereit?

Der Digitalverband Bitkom hat 1.000 Deutsche danach befragt, auf welche Angebote sie aus Gründen des…

2 Tagen ago

BSI warnt Microsoft-Exchange-Nutzer

Laut Bundesamt sind mindestens 17.000 Instanzen in Deutschland durch eine oder mehrere kritische Schwachstellen verwundbar.

2 Tagen ago

Apple kündigt Entwicklerkonferenz WWDC 2024 für 10. Juni an

Die Veranstaltung startet wie in jedem Jahr mit einer Keynote. Apple verspricht Neuerungen für alle…

2 Tagen ago