Kaspersky hace públicos los resultados de una investigación centrada en las actividades del grupo de ransomware Cuba. La banda ha implementado un malware que evade los sistemas de detección y ha atacado a organizaciones e industrias de todo el mundo.
En diciembre de 2022, Kaspersky detectó un incidente sospechoso en un cliente, descubriendo tres archivos muy extraños. Estos ficheros desencadenaron una serie de acciones a través de las cuales se cargó la biblioteca komar65, también conocida como BUGHATCH.
BUGHATCH es un backdoor (puerta trasera) muy sofisticado que se fija a la memoria de proceso y ejecuta shellcode (código malicioso) utilizando la API de Windows. Posteriormente, se conecta a un servidor de Comando y Control (C2) desde donde recibe instrucciones. De esta forma, puede recibir comandos para descargar software como Cobalt Strike Beacon y Metasploit. La utilización de Veeamp en el ataque es una evidencia de la participación de Cuba.
En el análisis, Kaspersky reveló módulos adicionales que mejoran el malware. Uno de ellos recopila información del sistema que envía a un servidor mediante solicitudes HTTP POST.
Kaspersky también descubrió nuevas muestras de malware atribuidas por la web VirusTotal al grupo Cuba. Algunas lograron evadir la seguridad de los sistemas. Estas muestras son nuevas versiones del malware BURNTCIGAR, que utilizan datos cifrados para sortear la detección de los antivirus.
“Estos descubrimientos subrayan lo importante que es contar con los últimos informes e inteligencia sobre amenazas. A medida que las bandas de ransomware como Cuba evolucionan y perfeccionan sus tácticas, es crucial mantenerse a la vanguardia para combatir los ataques. El siempre cambiante panorama de ciberamenazas convierte el conocimiento en la defensa más eficaz contra los nuevos ciberdelincuentes”, afirma Gleb Ivanov, experto en ciberseguridad de Kaspersky.
Cuba es muy difícil de detectar. Se dirige a sectores tan diversos como comercio minorista, finanzas, logística o administraciones públicas en América del Norte, Europa, Oceanía y Asia. De hecho, España se encuentra entre los países más afectado en el continente. Combina herramientas públicas y propias, actualiza periódicamente sus sistemas y se sirve de técnicas de ataque como BYOVD (Bring Your Own Vulnerable Driver).
Distribución geográfica de las víctimas de Cuba
Una de sus formas de actuar es modificar las marcas de tiempo de compilación para engañar a los expertos en ciberseguridad. De esta forma, algunas muestras encontradas en 2020 tenían una fecha de compilación del 4 de junio de ese año, pero las marcas de tiempo de las versiones más recientes mostraban haber sido creadas el 19 de junio de 1992. Esta amenaza no solo cifra información, sino que también extrae datos confidenciales: documentos financieros, registros bancarios, cuentas de empresas y código fuente. Cuba está en el punto de mira del sector de la ciberseguridad, pero sigue evolucionando sus técnicas y tácticas continuamente.
Kaspersky recomienda a empresas y organizaciones seguir las siguientes prácticas para protegerse frente al ransomware:
- Mantener el software actualizado para evitar ataques que explotan vulnerabilidades para infiltrarse en la red.
- Centrar la defensa en la detección de movimientos laterales y filtraciones de datos en Internet. Poner especial atención en el tráfico saliente para detectar conexiones a la red por parte de los ciberdelincuentes. Es importante disponer de copias de seguridad offline para acceder rápidamente a ellas en caso necesario.
- Instalar protección contra ransomware en todos los endpoints.
- Usar soluciones EDR y anti-APT que permiten descubrir e investigar las amenazas, así como repelerlas antes de que sea demasiado tarde. Proveer al equipo del SOC con la última inteligencia de amenazas y realizar sesiones de capacitación y entrenamiento profesionales.
Más información
- Las 5 verdades del ransomware que actualmente desconocen las empresas españolas
- Guía de defensa contra el ransomware: Preparados para un ataque
- Cómo reducir el riesgo de ransomware con un enfoque holístico
- ¿Cómo pueden las empresas españolas luchar contra un ransomware cada vez más consolidado?
- Se duplica el ransomware dirigido: surgen nuevas técnicas y grupos
