Le ransomware Cuba déploie un nouveau logiciel malveillant
Kaspersky a publié ses dernières découvertes concernant le groupe de ransomware connu sous le nom de Cuba : le groupe a récemment déployé des logiciels malveillants qui ont échappé à la détection avancée, et ciblé des organisations partout dans le monde, compromettant ainsi des entreprises œuvrant dans divers secteurs d'activité.
Kaspersky a publié ses dernières découvertes concernant le groupe de ransomware connu sous le nom de Cuba : le groupe a récemment déployé des logiciels malveillants qui ont échappé à la détection avancée, et ciblé des organisations partout dans le monde, compromettant ainsi des entreprises œuvrant dans divers secteurs d'activité.
En décembre 2022, Kaspersky a détecté un incident suspect sur le serveur d'un de ses clients, avec la découverte de trois fichiers douteux. Ces fichiers ont déclenché une séquence de tâches qui ont conduit au chargement de la bibliothèque komar65, aussi appelée BUGHATCH.
BUGHATCH est une porte dérobée sophistiquée qui se déploie dans la mémoire du processus. Le programme exécute un bloc de shellcode intégré dans l'espace mémoire qui lui est alloué à l'aide de l'API Windows, qui comprend diverses fonctions. Il se connecte ensuite à un serveur de commande et de contrôle (C2) en attente d'autres instructions. Il peut recevoir des commandes pour télécharger des logiciels tels que Cobalt Strike Beacon et Metasploit. L'utilisation de Veeamp dans l'attaque suggère fortement l'implication de Cuba dans le déploiement de cette attaque.
Le fichier PDB fait notamment référence au dossier "komar", un mot russe signifiant "moustique", ce qui indique la présence potentielle de membres russophones au sein du groupe. En menant une analyse plus poussée, des experts Kaspersky ont découvert d'autres modules distribués par Cuba, qui améliorent les fonctionnalités du logiciel malveillant. L'un de ces modules est chargé de collecter des informations sur le système, qui sont ensuite envoyées à un serveur via des requêtes HTTP POST.
Poursuivant son enquête, les chercheurs ont identifié de nouveaux échantillons de logiciels malveillants attribués au groupe Cuba sur VirusTotal. Certains de ces échantillons étaient passés entre les mailles de la détection avancée fournie par d'autres fournisseurs de sécurité. Ces échantillons représentent de nouvelles itérations du logiciel malveillant BURNTCIGAR, exploitant des données cryptées pour échapper à la détection antivirus.
« Nos dernières découvertes soulignent l'importance de l'accès aux derniers rapports et renseignements sur les menaces. Les gangs de ransomware comme Cuba évoluent rapidement, tout en affinant leurs tactiques, il est donc essentiel de rester à l'avant-garde pour contrer efficacement les attaques potentielles. Face à l'évolution constante du paysage des cybermenaces, la connaissance est l'ultime défense contre les groupes cybercriminels émergents », déclare Gleb Ivanov, expert en cybersécurité chez Kaspersky.
Cuba est une souche de ransomware à fichier unique, difficile à détecter, car elle fonctionne sans bibliothèques additionnelles. Ce groupe russophone est connu pour sa victimologie étendue, et cible des secteurs tels que la vente au détail, la finance, la logistique, les agences gouvernementales et la fabrication en Amérique du Nord, en Europe, en Océanie et en Asie. Les agents malveillants œuvrant au sein de Cuba utilisent un mélange d'outils publics et propriétaires, mettent régulièrement à jour leur boîte à outils et utilisent des tactiques telles que BYOVD (Bring Your Own Vulnerable Driver).
L'une des caractéristiques de leur opération consiste à modifier les dates et les heures des fichiers compilés afin d'induire les enquêteurs en erreur. Par exemple, certains échantillons trouvés en 2020 avaient une date de compilation du 4 juin 2020, alors que les horodatages de versions plus récentes étaient affichés comme étant datées du 19 juin 1992. Leur approche unique consiste non seulement à crypter les données, mais aussi à adapter les attaques pour extraire des informations sensibles, telles que des documents financiers, des relevés bancaires, des comptes d'entreprise et du code source. Les entreprises de développement de logiciels sont particulièrement exposées. Bien que Cuba soit sous les feux des projecteurs depuis un certain temps maintenant, ce groupe reste dynamique et affine constamment ses techniques.
Lire le rapport complet sur les nouvelles activités de Cuba, rendez-vous sur Securelist.
Pour protéger votre organisation contre les ransomwares, Kaspersky fait les recommandations suivantes :
- Maintenez toujours les logiciels à jour sur tous les appareils que vous utilisez afin d'empêcher les attaquants d'exploiter les vulnérabilités et d'infiltrer votre réseau.
- Concentrez votre stratégie de défense sur la détection des mouvements latéraux et l'exfiltration des données vers l'internet. Accordez une attention particulière au trafic sortant pour détecter les connexions des cybercriminels à votre réseau. Mettez en place des sauvegardes hors ligne que les intrus ne peuvent pas altérer. Assurez-vous de pouvoir y accéder rapidement en cas de besoin ou d'urgence.
- Activez la protection contre les ransomwares pour tous les terminaux. Il existe un outil gratuit, Kaspersky Anti-Ransomware Tool for Business, qui protège les ordinateurs et les serveurs contre les ransomwares et d'autres types de logiciels malveillants, empêche les exploits et est compatible avec les solutions de sécurité déjà installées.
- Installez des solutions anti-APT et EDR, permettant des capacités de découverte et de détection avancées des menaces, d'investigation et de remédiation rapide des incidents. Donnez à votre équipe SOC l'accès aux dernières informations sur les menaces et la former régulièrement à l'aide de formations professionnelles. Tous ces éléments sont disponibles dans le cadre de Kaspersky Expert Security.
- Offrez à votre équipe SOC l'accès aux dernières informations sur les menaces (TI). Le portail Kaspersky Threat Intelligence Portal est un point d'accès unique aux informations sur les menaces de Kaspersky, qui fournit des données sur les cyberattaques et des informations recueillies par notre équipe depuis plus de 20 ans. Afin d'aider les entreprises à mettre en place des défenses efficaces en ces temps troublés, Kaspersky a annoncé l'accès gratuit à des informations indépendantes, mises à jour en permanence et provenant du monde entier sur les cyberattaques et les menaces en cours. Demandez l'accès à cette offre ici.
A propos de Kaspersky
Kaspersky
est une société internationale de cybersécurité et de protection de la vie
privée numérique fondée en 1997. L’expertise de Kaspersky en matière de «
Threat Intelligence » et sécurité informatique vient constamment enrichir la
création de solutions et de services de sécurité pour protéger les entreprises,
les infrastructures critiques, les autorités publiques et les particuliers à
travers le monde. Le large portefeuille de solutions de sécurité de Kaspersky
comprend la protection avancée des terminaux ainsi que des solutions et
services de sécurité dédiés afin de lutter contre les menaces digitales
sophistiquées et en constante évolution. Les technologies de Kaspersky aident
plus de 400 millions d’utilisateurs et 240 000 entreprises à protéger ce qui
compte le plus pour eux.
Le ransomware Cuba déploie un nouveau logiciel malveillant
Kaspersky
Articles connexes Communiqués de presse
Kaspersky signale une hausse des cyberattaques contre les gamers en 2023
La communauté mondiale des gamers, qui englobe actuellement près de la moitié de la population mondiale, se trouve de plus en plus la cible de cybercriminels, selon une enquête approfondie menée par Kaspersky. Entre juillet 2022 et juillet 2023, la société de cybersécurité a constaté une vulnérabilité croissante au sein de la communauté de gaming, ce qui a permis aux cybercriminels de s'introduire dans cette vaste communauté afin d'accéder à des données personnelles. Les attaquants ont lancé une série d'incursions, exploitant des failles sur le web, organisant des attaques par déni de service distribué (DDoS), pratiquant le minage de cryptomonnaie, et mettant en œuvre des campagnes complexes de Trojans et de phishing.Lire la suite >Faire le bon choix : guide à l'usage des parents pour le premier appareil électronique de leur enfant
C’est inévitable : tôt ou tard, tous les parents sont confrontés à la question de l'achat du premier appareil électronique de leurs enfants. Selon une étude de Kaspersky, 61 % des enfants reçoivent leur premier appareil entre 8 et 12 ans, mais cela peut advenir encore plus tôt, avec plus d’un enfant sur dix (11 %) ayant leur propre téléphone portable ou tablette avant l'âge de cinq ans. Il est essentiel que les parents apprennent rapidement la meilleure marche à suivre pour introduire la technologie dans la vie de leur enfant.Lire la suite >Kaspersky Extended Detection and Response : une nouvelle solution disponible pour les early adopters
Kaspersky présente sa nouvelle solution de sécurité Extended Detection and Response (XDR), qui combine plusieurs options de protection au sein d'une plateforme unifiée. Elle inclut la collecte et la corrélation des logs, la gestion des cas et des actifs, les playbooks de réponse et les capacités d'investigation, pour aider les entreprises à protéger leurs actifs et leurs processus métier contre les menaces avancées ou complexes, les APT et les attaques ciblées. Les early adopters peuvent découvrir en exclusivité la solution Kaspersky XDR dans un environnement de test et partager leurs commentaires avant de mettre la solution en œuvre dans une infrastructure réelle.Lire la suite >