Kaspersky telah meluncurkan penelitian terhadap aktivitas kelompok ransomware terkenal yang dikenal sebagai Cuba. Kelompok penjahat siber tersebut baru-baru ini menyebarkan malware yang dapat menghindari deteksi tingkat lanjut, dan menargetkan organisasi di seluruh dunia, sehingga meninggalkan jejak di sejumlah perusahaan yang telah disusupi di berbagai industri.

Pada bulan Desember 2022, Kaspersky mendeteksi insiden mencurigakan pada sistem klien, mengungkap tiga file yang meragukan. File-file ini memicu serangkaian tindakan yang mengarah pada pemuatan komar65 library, juga dikenal sebagai BUGHATCH.

BUGHATCH adalah backdoor canggih yang diterapkan dalam memori proses. Ia mengeksekusi blok kode shell yang tertanam dalam ruang memori yang dialokasikan padanya menggunakan Windows API, yang mencakup berbagai fungsi. Selanjutnya, terhubung ke server Command and Control (C2), menunggu instruksi lebih lanjut. Itu dapat menerima perintah untuk mengunduh perangkat lunak seperti Cobalt Strike Beacon dan Metasploit. Penggunaan Veeamp dalam serangan tersebut menunjukkan keterlibatan Cuba.

Khususnya, file PDB merujuk pada folder “komar”, adalah kata dalam bahasa Rusia untuk “nyamuk”, menunjukkan potensi kehadiran anggota berbahasa Rusia dalam grup tersebut. Analisis lebih lanjut oleh Kaspersky mengungkap modul tambahan yang didistribusikan oleh grup Cuba, sehingga meningkatkan fungsionalitas malware tersebut. Salah satu modul tersebut bertanggung jawab untuk mengumpulkan informasi sistem, yang kemudian dikirim ke server melalui permintaan HTTP POST.

Melanjutkan penyelidikannya, Kaspersky menemukan sampel malware baru yang dikaitkan dengan kelompok Cuba di VirusTotal. Beberapa dari sampel ini berhasil menghindari deteksi oleh vendor keamanan lainnya. Sampel ini mewakili versi baru dari malware BURNTCIGAR, yang menggunakan data terenkripsi untuk menghindari deteksi antivirus.

Cuba adalah jenis ransomware file tunggal, yang sulit dideteksi karena pengoperasiannya tanpa perpustakaan tambahan. Grup berbahasa Rusia ini dikenal karena jangkauannya yang luas dan menargetkan industri seperti ritel, keuangan, logistik, pemerintahan, dan manufaktur di Amerika Utara, Eropa, Oseania, dan Asia. Mereka menggunakan gabungan alat milik publik dan milik sendiri, memperbarui perangkat mereka secara teratur dan menggunakan taktik seperti BYOVD (Bring Your Own Vulnerable Driver).

Ciri khas dari operasi mereka adalah mengubah stempel waktu kompilasi untuk menyesatkan penyelidik. Misalnya, beberapa sampel yang ditemukan pada tahun 2020 memiliki tanggal kompilasi 4 Juni 2020, sedangkan stempel waktu pada versi yang lebih baru ditampilkan berasal dari 19 Juni 1992. Pendekatan unik mereka tidak hanya melibatkan enkripsi data tetapi juga menyesuaikan serangan untuk mengekstrak data informasi sensitif, seperti dokumen keuangan, catatan bank, rekening perusahaan, dan kode sumber. Perusahaan pengembangan perangkat lunak sangat berisiko. Meski sempat menjadi sorotan selama beberapa waktu, grup ini tetap dinamis dan terus menyempurnakan tekniknya.

Kaspersky mendorong organisasi untuk mengikuti praktik terbaik berikut yang membantu melindungi organisasi Anda dari ransomware :

• Selalu perbarui perangkat lunak di semua perangkat yang Anda gunakan untuk mencegah penyerang mengeksploitasi kerentanan dan menyusup ke jaringan.
• Fokuskan strategi pertahanan Anda untuk mendeteksi pergerakan lateral dan penyelundupan data ke internet. Berikan perhatian khusus pada lalu lintas keluar untuk mendeteksi koneksi penjahat siber ke jaringan Anda. Siapkan cadangan offline yang tidak dapat dirusak oleh penyusup. Pastikan Anda dapat mengaksesnya dengan cepat saat dibutuhkan atau dalam keadaan darurat.
• Aktifkan perlindungan ransomware untuk semua titik akhir. Terdapat Kaspersky Anti-Ransomware Tool for Business gratis yang melindungi komputer dan server dari ransomware dan jenis malware lainnya, mencegah eksploitasi, dan kompatibel dengan solusi keamanan yang sudah diinstal.
• Menginstal solusi anti-APT dan EDR, yang memungkinkan kemampuan penemuan dan deteksi ancaman tingkat lanjut, investigasi, dan remediasi insiden secara tepat waktu. Berikan tim SOC Anda akses ke intelijen ancaman terbaru dan tingkatkan keterampilan mereka secara rutin dengan pelatihan profesional.

Semua hal di atas tersedia dalam kerangka Kaspersky Expert Security.

Berikan tim SOC Anda akses ke intelijen ancaman (TI) terbaru. Portal Intelijen Ancaman Kaspersky adalah satu titik akses untuk TI Kaspersky, yang menyediakan data dan wawasan serangan siber yang dikumpulkan oleh tim kami selama lebih dari 20 tahun. Untuk membantu dunia usaha mewujudkan pertahanan yang efektif di masa-masa penuh gejolak ini, Kaspersky telah mengumumkan akses terhadap informasi independen, yang terus diperbarui dan bersumber secara global mengenai serangan dan ancaman siber yang sedang berlangsung, tanpa biaya.