Descoberto novo ataque de ransomware do grupo Cuba

Na sua nova investigação, a Kaspersky analisou as atividades do grupo de ransomware Cuba, que recentemente implantou um malware capaz de evitar a deteção mais avançada. O ciberataque visou organizações de vários setores numa escala mundial.

Em dezembro de 2022, a Kaspersky descobriu no sistema de um cliente três ficheiros duvidosos, que despoletaram uma sequência de ações que culminaram no carregamento da biblioteca komar65, conhecida como BUGHATCH – um backdoor sofisticado que se instala na memória do processo.

O BUGHATCH executa um bloco de código de shell incorporado no espaço de memória que lhe é atribuído, utilizando a API do Windows, e liga-se a um servidor de Comando e Controlo (C2), aguardando instruções adicionais. O malware pode receber comandos para descarregar software, como o Cobalt Strike Beacon e o Metasploit. Segundo a Kaspersky, a utilização do Veeamp sugere fortemente que o grupo Cuba está envolvido no ciberataque.

O ficheiro PDB, em particular, referencia a pasta “komar”, uma palavra russa que significa “mosquito”, o que potencialmente indica a existência no grupo de membros que falam russo, a língua mais utilizada do Cuba.

A investigação da Kaspersky evidenciou a distribuição de módulos adicionais pelo grupo Cuba, melhorando a funcionalidade do malware. Um dos módulos é responsável por recolher a informação do sistema, enviada posteriormente para um servidor através de pedidos HTTP POST.

Para além disto, a Kaspersky revelou a descoberta de novas amostras de malware atribuídas ao Cuba no VirusTotal, algumas que previamente conseguiram fugir à deteção por outros fornecedores de segurança. Isto representa novas iterações do malware BURNTCIGAR, utilizando dados encriptados para evitar a deteção.

“As nossas últimas descobertas sublinham a importância do acesso aos mais recentes relatórios e informações sobre ameaças. À medida que os grupos de ransomware, como Cuba, evoluem e aperfeiçoam as suas táticas, manter-se à frente dos criminosos é crucial para mitigar eficazmente os potenciais ataques”, afirma Gleb Ivanov, especialista em cibersegurança da Kaspersky. “Com o cenário das ameaças em constante mudança, o conhecimento é a melhor defesa contra os cibercriminosos emergentes”.

O Cuba é um grupo de ransomware de ficheiro único e funciona sem bibliotecas adicionais, o que dificulta a sua deteção. Geralmente, visa setores como o retalho, finanças, logística, governo e indústria transformadora, particularmente em regiões na América do Norte, Europa, Oceânia e Ásia. 

Recorrendo a uma combinação de ferramentas públicas e proprietárias, os cibercriminosos atualizam com frequência o conjunto de ferramentas usadas e utilizam táticas como BYOVD (Bring Your Own Vulnerable Driver). Para além disto, o grupo de ransomware altera também os carimbos de data e hora da compilação para despistar os investigadores.

A operação do Cuba tem uma abordagem única, assente na encriptação de dados e na adaptação de ataques para extrair dados sensíveis, como documentos financeiros, registos bancários, contas de empresas e código fonte.

A Kaspersky alerta que as empresas de desenvolvimento de software estão particularmente em risco.