60 Mio. US-Dollar erbeutet: FBI und CISA warnen vor Cuba-Ransomware

Im vergangenen Jahr nach sich ziehen die Akteure hinter dieser Cuba-Ransomware mehr qua 100 Institutionen weltweit angegriffen und mehr qua 60 Mio. US-Dollar Lösegeld erpresst. Die US-Sicherheitsbehörden CISA und FBI warnen nun vor dieser Schadsoftware. Sie erläutern Schutzmaßnahmen sowie Hinweise, vereinen Befall zu wiedererkennen.

Die Behörden exemplifizieren in einer gemeinsamen Sicherheitsmeldung, dass seit dem Zeitpunkt dem letzter Monat des Jahres 2021 mehr qua 100 Einrichtungen weltweit dieser Cybergang zum Todesopfer fielen. Die Erpresser forderten dieserfalls mehr qua 145 Mio. US-Dollar an Lösegeld, womit sie tatsächlich 60 Mio. US-Dollar an Lösegeldzahlungen erhalten nach sich ziehen sollen.

Einbruchsvarianten

Die Autoren dieser Meldung erläutern, dass die Akteure hinter dieser Cuba-Ransomware – die nichts mit dem Staat zu tun hat, uff diesen Verzeichnis legen FBI und CISA wert – die initialen Netzwerkeinbrüche vorrangig mittels Schänden von bekannten Sicherheitslücken in kommerzieller Software durchführte. Beiläufig durch Phishing-Kampagnen, kompromittierter Zugangsdaten sowie legitimer RDP-Fernwartungswerkzeuge gelangen die Attacken.

Nachher dem initialen Zugriff verteilen die Angreifer die Cuba-Ransomware uff den kompromittierten Systemen mittels Hancitor. Derbei handelt es sich um vereinen Loader, dieser dazu familiär ist, Stealer zu positionieren oder zu starten sowie Remote Access Trojans (RATs) und andere Arten von Ransomware in die Todesopfer-Netzwerke einzubringen.

Die Dunkelmann hinter dieser Ransomware missbrauchten Schwachstellen im Windows Common Log File System (CLFS)-Viehtreiber, um System-Token zu stehlen und ihre Rechte auszuweiten. Sie nutzten ein PowerShell-Skript, um Dienstekonten und ihre zugehörigen Active-Directory-Kerberos-Tickets zu identifizieren und ebendiese mittels Kerberoasting zu knacken. Zudem kam ein Werkzeug namens KerberCache zum Sicherheit, um Kerberos-Tickets aus dem LSASS-Speicher auszulesen. Schließlich nutzten sie ein Tool, um die Schwachstelle ZeroLogon (CVE-2020-1472) zum Ergattern von Domain-Administrator-Rechten zu erlangen. Es geht ihnen offenbar drum, möglichst weitreichend Zugang zu erhalten.

Weiterentwicklung dieser Angriffe

Weiterhin versuchen die Cyberkriminellen, dieser Kenntniserlangung unter ihren Bewegungen durch dasjenige Netzwerk zu entweichen. So nach sich ziehen sie Kernel-Viehtreiber wie AcpHelper.sys installiert, mit denen sie schließlich Sicherheitsprodukte wie Virenscanner deaktivieren können. Trend Micro berichtete vor einigen Wochen von solchen Tricks von IT-Einbrechern.

Die Verantwortlichen hinter dieser Cuba-Ransomware nach sich ziehen ihre Vorgangsweisen daher Neben… sonst weiter entwickelt. So setzen sie inzwischen uff sogenannte “double extortion”, welches dasjenige Kopieren dieser Statistik uff Server dieser Erpresser vor dieser Verschlüsselung bedeutet. So können sie nicht nur Lösegeld zu Händen die Entschlüsselung dieser Statistik einfordern, sondern Neben… eine Modus Schweigegeld zu Händen dasjenige Löschen und die Nichtveröffentlichung dieser erbeuteten, in dieser Regel sensiblen Statistik.

Seit dem Zeitpunkt dem Frühling 2022 nach sich ziehen IT-Sicherheitsforscher Verbindungen von den Cuba-Ransomware-Machern mit RomCom RAT-Akteuren und industriellen Spy- und Ransomware-Akteuren ausgemacht. So setzt Cuba-Ransomware seitdem uff RomCom, einem individuell angepassten Remote Access Trojan, qua Command- and-Control-Schnittstelle. Die Dunkelmann stillstehen im Verdächtigung, eine Firma aus dem Gesundheitswesen mit industrieller Spy-Ransomware verseucht zu nach sich ziehen, die manche Ähnlichkeiten mit dieser Cuba-Ransomware aufweise. Zunächst hatte die Cuba-Ransomware-Gangart eine eigene Leak-Site zum Verkauf gestohlener Statistik genutzt. Seit dem Zeitpunkt Mai des Jahres etwa setzte sie jedoch uff vereinen industriellen Online-Spionage-Markt.

Weltweite Angriffe

Die RomCom-Akteure sollen international militärische Organisationen, IT-Firmen, Lebensmittelhändler und Hersteller angegriffen nach sich ziehen. Sie kopierten dazu legtimen Hypertext Markup Language-Identifizierungszeichen dieser öffentlichen Webseiten und veränderten ihn so, dass sie uff gefälschte Domains zeigen. So konnten sie trojanisierte Softwareversionen etwa von SolarWinds Network Performance Monitor (NPM), KeePass Passwort-Manager, Portable Document Format Reader Pro und Advances IP Scanner bereitstellen und im letzten Installationsstadium dasjenige RomCom RAT installieren.

In dieser Sicherheitsmeldung ergänzen CISA und FBI stark Listen mit Indicators of Compromise (IoCs), deswegen Hinweisen, die uff eine Infektion hindeuten. Zudem schenken sie die üblichen und bekannten Sicherheitshinweise, wie IT-Verantwortliche ihre Netze vor solchen Einbrüchen schützen können. Da die Einbrüche in dieser Regel reichlich ältere, ungepatchte Sicherheitslücken erfolgen, sollte ein schnelles und umfassendes Patch-Management helfen. Und natürlich ist ein Datensicherung immer hilfreich, um die Arbeitsfähigkeit und Statistik nachher einem Zwischenfall schnell wiederherzustellen.

(dmk)