Il gruppo di ransomware Cuba, noto per le sue tattiche evolute e per aver preso di mira una varietà di industrie in diverse regioni del mondo, sta portando le sue operazioni a un nuovo livello di stealth e sofisticazione. Recentemente, i ricercatori di Kaspersky hanno scoperto nuove versioni del malware BurntCigar, che offrono al gruppo una maggiore capacità di evitare il rilevamento. Ecco un’analisi dettagliata delle ultime scoperte e delle implicazioni per le potenziali vittime.
Dettagli sul Nuovo Malware
Durante un’indagine in corso, i ricercatori di Kaspersky hanno scoperto nuovi campioni di malware attribuiti al gruppo Cuba. Questi rappresentano nuove versioni del malware BurntCigar, che conferisce al gruppo una maggiore stealth. Il malware è stato scoperto per la prima volta in un sistema client a dicembre. La catena di attacco ha portato al caricamento di una libreria chiamata “komar65”, nota anche come BugHatch. Questo downloader personalizzato è una “backdoor sofisticata che si implementa nella memoria del processo”, secondo quanto riportato da Kaspersky.
Il malware esegue un blocco di shellcode incorporato all’interno dello spazio di memoria a esso allocato utilizzando l’API di Windows. Successivamente, si connette a un server di comando e controllo (C2), in attesa di ulteriori istruzioni. Può ricevere comandi per scaricare software come Cobalt Strike Beacon e Metasploit. L’uso di Veeamp nell’attacco suggerisce fortemente il coinvolgimento di Cuba.
Implicazioni e Consigli per le Potenziali Vittime
Il gruppo di ransomware di lingua russa ha preso di mira una varietà di industrie in Nord America, Europa, Oceania e Asia, dimostrando di avere una vasta portata e la capacità di colpire una gamma diversificata di organizzazioni, sebbene la maggior parte dei suoi obiettivi siano di origine statunitense. Una caratteristica notevole dell’operazione del gruppo Cuba è la sua capacità di ingannare coloro che lo stanno indagando, alterando i timestamp di compilazione.
Con la capacità del gruppo di manipolare i suoi inseguitori, rimanere dinamico nelle sue tattiche e estrarre informazioni sensibili come documenti finanziari e registri bancari, è essenziale che fornitori e organizzazioni rimangano vigili. “Man mano che gruppi di ransomware come Cuba evolvono e affinano le loro tattiche, stare un passo avanti alla curva è cruciale per mitigare efficacemente gli attacchi potenziali. Con il panorama in continua evoluzione delle minacce informatiche, la conoscenza è la difesa ultima contro i cybercriminali emergenti”, secondo il rapporto di ricerca di Kaspersky.