Ransomware-Gruppe Cuba setzt auf neue Malware

[Joker]

Laut Kaspersky umgeht Malware auch fortschrittliche Erkennungsverfahren.

Bei der Untersuchung eines Vorfalls bei einem Kunden im Dezember 2022 entdeckte Kaspersky drei verdächtige Dateien. Diese Dateien lösten eine Reihe von Aktionen aus, die zum Download der Bibliothek ,komar65‘, auch bekannt als ,BUGHATCH‘, führten. Bei BUGHATCH handelt es sich um eine ausgeklügelte Backdoor, die sich im Prozessspeicher eines Gerätes einnistet. Innerhalb des ihr zugewiesenen Speicherplatzes führt sie einen eingebetteten Shellcode-Block aus; hierzu verwendet sie eine Windows-API, die zahlreiche Funktionen umfasst. So können beispielsweise Befehle über einen Command-and-Control-Server zum Herunterladen von schädlicher Software wie Cobalt Strike Beacon und Metasploit empfangen werden.

"(Quelle: https://www.zdnet.de/88411886/ransomwar ... e-malware/)"

[Logitech21]

Die Ransomware spart Zeit, indem sie nach Microsoft Office-Dokumenten, Bildern, Archiven und anderen im Verzeichnis %AppData%\Microsoft\Windows\Recent\ sucht und diese verschlüsselt, anstatt alle Dateien auf dem Gerät. Außerdem werden alle SQL-Dienste beendet, um alle verfügbaren Datenbanken zu verschlüsseln. Es sucht sowohl lokal als auch innerhalb von Netzwerkfreigaben nach Daten.

Neben der Verschlüsselung stiehlt die Gruppe auch sensible Daten, die sie innerhalb der Organisation des Opfers entdeckt. Die Art der Daten, nach denen die Hacker suchen, hängt von der Branche ab, in der das Zielunternehmen tätig ist. In den meisten Fällen exfiltrieren sie jedoch Folgendes:

Finanzunterlagen
Kontoauszüge
Details zu Firmenkonten
Quellcode, wenn das Unternehmen ein Softwareentwickler ist
https://securelist.com/cuba-ransomware/110533/#

vom Englischen Beitrag ins Deutsche übersetzt