«Лаборатория Касперского» представила результаты своего последнего исследования, касающегося деятельности известной хакерской группы-вымогателей Cuba Ransomware. Эта группа привлекла к себе внимание после ряда атак на различные организации по всему миру, включая финансовые, государственные, транспортные, ритейл-компании и промышленные предприятия в Северной Америке, Европе и странах Азии.
Эксперты по информационной безопасности из «Лаборатории Касперского» обнаружили, что представителям группировки Cuba удается внедрять вредоносное ПО в инфраструктуру организаций, где оно долгое время остается незамеченным даже передовыми системами обнаружения киберугроз. В декабре 2022 года исследователи обнаружили три подозрительных файла в одной из зараженных систем. Эти файлы активировали механизм загрузки вредоносной библиотеки Komar65, также известной как Bughatch.
Bughatch является бэкдором, который, развертываясь в памяти процессора, осуществляет выполнение встроенного кода в выделенной области памяти с использованием API Windows. После активации бэкдор подключается к командному серверу и ожидает дальнейших инструкций.
Кроме этого, специалисты «Лаборатории Касперского» обнаружили дополнительные модули, которые расширяют функциональность вредоносного ПО, используемого группой Cuba. Один из таких модулей, например, собирает информацию с зараженной системы и отправляет ее на сервер через HTTP POST-запрос.
Анализируя базу данных сервиса VirusTotal, эксперты обнаружили новые варианты вредоносного ПО, связанных с хакерами из группировки Cuba. Некоторые из этих образцов не были выявлены другими антивирусами.
По словам представителей «Лаборатории Касперского», особенность группировки Cuba Ransomware заключается также в том, что ее члены манипулируют временными метками компиляции, что может вводить в заблуждение специалистов по информационной безопасности. Например, образцы, обнаруженные в 2020 году, имели метки времени от 4 июня 2020 года, в то время как другие, якобы более новые, были датированы июнем 1992 года.
Уникальная тактика группы Cuba Ransomware состоит не только в шифровании данных в зараженных системах, но и в адаптации атак для кражи конфиденциальных данных, включая финансовые документы, выписки из кредитных учреждений, счета организации, исходный код.
