Die Kuba-Fraktion ist mit einer aktualisierten Ransomware-Variante wieder im Einsatz

vor 5 Monaten · 0 comments
post-image

Eine neue Ransomware-Variante wurde mit Ergänzungen und Änderungen entdeckt, die sie noch gefährlicher machen.

Kubanische Ransomware-Betreiber sind wieder im Einsatz und bringen eine neue Version der Ransomware mit.

Die Aktivitäten Kubas erreichten 2021 ihren Höhepunkt, als die Gruppe eine Partnerschaft mit Hancitor-Malware-Betreibern einging, um sich ersten Zugang zu angegriffenen Netzwerken zu verschaffen. Bis Ende des Jahres hatte sie 49 Organisationen mit kritischer Infrastruktur in den USA gehackt. Dieses Jahr begann jedoch nicht so beeindruckend, da die Kuba-Ransomware nur eine Handvoll Opfer infizierte. Die Sicherheitsfirma Mandiant hat jedoch entdeckt, dass die Gruppe mit Taktiken experimentiert und daher immer noch aktiv ist.

Laut einem neuen Bericht von Forschern von Trend Micro hat Kuba von März bis April dieses Jahres ständig neue Opfer angegriffen. Drei Opfer wurden im April und eines im Mai zu ihrer Tor-Leckstelle hinzugefügt. Obwohl die Daten kürzlich veröffentlicht wurden, fanden die Angriffe selbst höchstwahrscheinlich früher statt. Natürlich sehen vier Opfer in zwei Monaten nicht sehr beeindruckend aus, aber die Betreiber Kubas sind bekannt für ihre selektive Herangehensweise an die Angriffe.

Ende April identifizierten Forscher von Trend Micro eine neue Ransomware-Variante mit geringfügigen Ergänzungen und Änderungen, die sie noch gefährlicher machen. Obwohl sich die Änderungen kaum auf die Funktionalität auswirkten, bestand ihr Hauptziel darin, die Ausführung von Ransomware zu optimieren, unbeabsichtigte Aktionen seitens des Systems zu minimieren und Opfern, die sich entscheiden, Verhandlungen mit Ransomware aufzunehmen, technischen Support zu bieten.

Vor dem Verschlüsseln von Dateien beendet die aktualisierte Version der Ransomware nun weitere Prozesse, darunter Outlook, MS Exchange und MySQL, sodass sie die Dateien nicht sperren und somit vor Verschlüsselung schützen können.

Außerdem wurde die Liste der Dateitypen und Verzeichnisse, die nicht verschlüsselt werden sollen, erweitert. Dadurch kann das System nach dem Angriff weiterarbeiten und eine erneute Ausführung wird verhindert, was zu einer Dateibeschädigung führen kann (wenn die Dateien irreparabel beschädigt sind, möchte das Opfer kein Lösegeld für die Entschlüsselung zahlen).

Die Ransomware-Betreiber aktualisierten auch die Lösegeldforderung, um qTox aufzunehmen, um den Opfern technischen Support in Echtzeit zu bieten.

Das Erscheinen einer aktualisierten Version von Cuba bedeutet, dass die Ransomware immer noch eine Bedrohung für Organisationen (hauptsächlich in Nordamerika) darstellt. Derzeit gibt es keine kostenlosen Tools, um damit verschlüsselte Dateien wiederherzustellen.

Comment