Categories: AlertsCybersicherheit

Ransomware-Gruppe Cuba setzt auf neue Malware

Bei der Untersuchung eines Vorfalls bei einem Kunden im Dezember 2022 entdeckte Kaspersky drei verdächtige Dateien. Diese Dateien lösten eine Reihe von Aktionen aus, die zum Download der Bibliothek ,komar65‘, auch bekannt als ,BUGHATCH‘, führten. Bei BUGHATCH handelt es sich um eine ausgeklügelte Backdoor, die sich im Prozessspeicher eines Gerätes einnistet. Innerhalb des ihr zugewiesenen Speicherplatzes führt sie einen eingebetteten Shellcode-Block aus; hierzu verwendet sie eine Windows-API, die zahlreiche Funktionen umfasst. So können beispielsweise Befehle über einen Command-and-Control-Server zum Herunterladen von schädlicher Software wie Cobalt Strike Beacon und Metasploit empfangen werden.

Cuba mit aktualisiertem Toolkit weiterhin aktiv

Dass bei diesem Angriff auch Veeamp zum Einsatz kam, deutet stark auf eine Beteiligung der Ransomware-Gruppe Cuba hin. Zudem verweist die PDB-Datei auf den Ordner „komar“, das russische Wort für „Moskito“, was ein Indiz für die Präsenz russischsprachiger Mitglieder innerhalb der Gruppe sein könnte. Zudem fanden die Experten von Kaspersky weitere Module, die von der Cuba-Gruppe in Umlauf gebracht wurden und die Funktionalität der Malware erweitern. Eines dieser Module ist für das Sammeln von Systeminformationen verantwortlich, die dann über HTTP-POST-Anfragen an einen Server gesendet werden.

Bei Cuba handelt es sich um einen Single-File-Ransomware-Stamm, der aufgrund seiner Funktionsweise ohne zusätzliche Bibliotheken nur schwer zu erkennen ist. Die Angreifer setzen eine Mischung aus öffentlichen und proprietären Tools ein, aktualisieren ihr Toolkit regelmäßig und nutzen Taktiken wie BYOVD (Bring Your Own Vulnerable Driver).

BURNTCIGAR verhindert Erkennung durch Antivirenprogramme

Ein Hauptmerkmal ihrer Vorgehensweise ist das Fälschen von Kompilierungs-Zeitstempeln, um Sicherheitsexperten in die Irre zu führen. So wiesen beispielsweise einige im Jahr 2020 gefundene Samples ein Kompilierungsdatum vom 4. Juni 2020 auf, während die Zeitstempel neuerer Versionen als Datum den 19. Juni 1992 vorgaben. Die besondere Vorgehensweise von Cuba umfasst nicht nur die Verschlüsselung von Daten, sondern auch individuell ausgerichtete Angriffe zur Extraktion sensibler Daten und Informationen wie Finanzdokumente, Bankunterlagen, Firmenkonten und Quellcode. Insbesondere Software-Entwicklungsfirmen sind hier gefährdet.

Im Zuge weiterer Untersuchungen stießen die Kaspersky Experten bei VirusTotal auf neue Malware-Samples, die der Cuba-Gruppe zugeschrieben werden. Einige dieser Samples konnten die Entdeckung durch andere Sicherheitsanbieter umgehen. Hierbei half eine neue Version der BURNTCIGAR-Malware, die sich mit verschlüsselten Daten der Erkennung durch Antivirenprogramme entziehen kann.

Roger Homrich

Recent Posts

Studie: Sorge über Cyberangriff auf eigenes Auto

Laut CAM-Studie sehen 40 Prozent der Autofahrer vernetzte Fahrzeuge mit Software-Updates als Bedrohung an.

2 Tagen ago

Wahlen in Gefahr: KI ermöglicht maßgeschneiderte Desinformation im großen Stil

Wahlen in mehr als 60 Ländern und rund 2 Milliarden potenziellen Wählern, ist ein gefundenes…

2 Tagen ago

Firefox 131 führt temporäre Website-Berechtigungen ein

Sie verfallen spätestens nach einer Stunde. Firefox 131 enthält zudem Fixes für 13 Anfälligkeiten, die…

4 Tagen ago

Malware-Kampagne gefährdet Smartphones und Bankkonten

Mobile Malware-Kampagne richtet sich gezielt gegen Banking-Apps.

4 Tagen ago

Microsoft räumt Probleme mit Update für Windows 11 ein

Betroffen ist das Update KB5043145 für Windows 11 23H2 und 22H2. Es löst unter Umständen…

4 Tagen ago

Beispielcode für Zero-Day-Lücke in Windows veröffentlicht

Sie erlaubt eine nicht autorisierte Ausweitung von Benutzerrechten. Microsoft stuft die Anfälligkeit bisher nicht als…

5 Tagen ago