Araştırmacılar, Küba fidye yazılımı grubuna atfedilen ve gruba üst düzey gizlilik sunan BurntCigar kötü amaçlı yazılımının yeni sürümlerini temsil eden yeni kötü amaçlı yazılım örneklerini ortaya çıkardı.
Kaspersky’deki araştırmacılar, Aralık ayında bir müşterinin sisteminde ilk kez bir olay tespit ettikten sonra, devam eden bir araştırmada kötü amaçlı yazılımı ortaya çıkardı. Saldırı zinciri sonuçta BugHatch olarak da bilinen “komar65” adlı bir kitaplığın yüklenmesine yol açtı. Kaspersky’ye göre bu özel indirici, “işlem belleğinde konuşlandırılan gelişmiş bir arka kapıdır”.
Kaspersky araştırmacıları bir analizde “Windows API’yi kullanarak kendisine ayrılan bellek alanı içinde gömülü bir kabuk kodu bloğunu çalıştırıyor” dedi. “Daha sonra bir komuta ve kontrol (C2) sunucusuna bağlanarak daha fazla talimat bekliyor. Cobalt Strike Beacon ve Metasploit gibi yazılımları indirmek için komutlar alabilir. Saldırıda Veeamp’in kullanılması, Küba’nın da dahil olduğunu kuvvetle akla getiriyor.”
Güvenlik firması şunu ekledi: “PDB dosyası özellikle ‘komar’ klasörüne atıfta bulunuyor, bu klasör Rusça’da ‘sivrisinek’ anlamına gelir ve grup içinde Rusça konuşan üyelerin potansiyel varlığına işaret eder.”
Kaspersky ayrıca Küba grubu tarafından dağıtılan ve kötü amaçlı yazılımın işlevselliğini artıran ek modüller de buldu. Böyle bir modül, daha sonra HTTP POST istekleri yoluyla bir sunucuya gönderilen sistem bilgilerinin toplanmasından sorumludur. Araştırmacılar, BugHatch’in artık şifrelenmiş veriler yoluyla güvenlik sağlayıcılarının tespitinden kaçma yeteneğine sahip olduğunu keşfetti. Küba’nın ikinci tescilli kötü amaçlı yazılımı olan BURNTCIGAR, G/Ç kontrol kodlarından yararlanabiliyor ve çekirdek düzeyindeki işlemleri sonlandırabiliyor.
Küba geçmişte bunu kullanmıştı. klasik çift gasp modeli Gerekli anahtar olmadan şifrenin çözülmesini önlemek için güvenli bir yöntem sağlayan hibrit şifrelemeyle kurbanlarına baskı yapmak. Ancak Kaspersky SOC analisti Gleb Ivanov, son bulguların bu gibi grupların büyüyüp geliştiğini kanıtladığını, bunun da bu yeni geliştirilmiş, kötü niyetli taktiklerin önünde durmayı daha da zorlaştırdığı konusunda uyarıyor.
“Bu grup işletmeler için ciddi bir tehdit oluşturuyor ve kuruluş içinde kullanılan kaynak, kod, yazılım vb. gibi hassas verileri çalacak” diye belirtiyor. “Bu kötü amaçlı yazılımın yeniliği henüz [been] Daha önce bu grubun saldırılarında da görüldü.”
Potansiyel Kurbanların Bilinmesi Gerekenler
Rusça konuşan fidye yazılımı grubu, Kuzey Amerika, Avrupa, Okyanusya ve Asya’daki çeşitli endüstrileri hedef alarak, hedeflerinin çoğu ABD kökenli olsa da geniş bir erişim alanına ve çok çeşitli kuruluşları hedefleme becerisine sahip olduğunu kanıtladı. .
Küba çetesinin operasyonunun dikkate değer bir özelliği, derleme zaman damgalarını değiştirerek onu araştıranları aldatma becerisidir. Bu tür davranışların bir örneği, 2020’de bulunan eski kötü amaçlı yazılım örneklerinin o yıla ait zaman damgalarına sahipken, örneklerin daha yeni sürümlerinin zaman damgalarına sahip olmasıdır. 1992 yılına dayanıyor.
Çetenin takipçilerini manipüle etme, taktiklerini dinamik tutma ve mali belgeler, banka kayıtları ve benzeri gibi hassas bilgileri elde etme becerisi göz önüne alındığında, satıcıların ve kuruluşların tetikte kalması çok önemlidir. “Küba gibi fidye yazılımı çeteleri geliştikçe ve taktiklerini geliştirdikçe, potansiyel saldırıları etkili bir şekilde azaltmak için diğerlerinden önde olmak hayati önem taşıyor. Siber tehditlerin sürekli değişen manzarasıyla birlikte, ortaya çıkan siber suçlulara karşı en büyük savunma bilgidir.” Kaspersky’nin araştırma raporu.
Ivanov, “Düzenli güncellemeler yapmak, kritik güvenlik açıklarını kapatmak, siber güvenlik trendlerini takip etmek ve bu tür tehditleri hızla tespit edip durdurabilecek iyi bir savunma ekibine sahip olmak önemli” diyor. “Mümkün olan her türlü savunmayla çevrelenmiş olsanız bile, tehdit hâlâ etrafınızda olabilir.”
