BUGHATCH est une porte dérobée sophistiquée qui se déploie dans la mémoire du processus. Le programme exécute un bloc de shellcode intégré dans l’espace mémoire qui lui est alloué à l’aide de l’API Windows, qui comprend diverses fonctions. Il se connecte ensuite à un serveur de commande et de contrôle (C2) en attente d’autres instructions. Il peut recevoir des commandes pour télécharger des logiciels tels que Cobalt Strike Beacon et Metasploit. L’utilisation de Veeamp dans l’attaque suggère fortement l’implication de Cuba dans le déploiement de cette attaque.

Le fichier PDB fait notamment référence au dossier "komar", un mot russe signifiant "moustique", ce qui indique la présence potentielle de membres russophones au sein du groupe. En menant une analyse plus poussée, des experts Kaspersky ont découvert d’autres modules distribués par Cuba, qui améliorent les fonctionnalités du logiciel malveillant. L’un de ces modules est chargé de collecter des informations sur le système, qui sont ensuite envoyées à un serveur via des requêtes HTTP POST.

Poursuivant son enquête, les chercheurs ont identifié de nouveaux échantillons de logiciels malveillants attribués au groupe Cuba sur VirusTotal. Certains de ces échantillons étaient passés entre les mailles de la détection avancée fournie par d’autres fournisseurs de sécurité. Ces échantillons représentent de nouvelles itérations du logiciel malveillant BURNTCIGAR, exploitant des données cryptées pour échapper à la détection antivirus.

« Nos dernières découvertes soulignent l’importance de l’accès aux derniers rapports et renseignements sur les menaces. Les gangs de ransomware comme Cuba évoluent rapidement, tout en affinant leurs tactiques, il est donc essentiel de rester à l’avant-garde pour contrer efficacement les attaques potentielles. Face à l’évolution constante du paysage des cybermenaces, la connaissance est l’ultime défense contre les groupes cybercriminels émergents », déclare Gleb Ivanov, expert en cybersécurité chez Kaspersky.

Cuba est une souche de ransomware à fichier unique, difficile à détecter, car elle fonctionne sans bibliothèques additionnelles. Ce groupe russophone est connu pour sa victimologie étendue, et cible des secteurs tels que la vente au détail, la finance, la logistique, les agences gouvernementales et la fabrication en Amérique du Nord, en Europe, en Océanie et en Asie. Les agents malveillants œuvrant au sein de Cuba utilisent un mélange d’outils publics et propriétaires, mettent régulièrement à jour leur boîte à outils et utilisent des tactiques telles que BYOVD (Bring Your Own Vulnerable Driver).

L’une des caractéristiques de leur opération consiste à modifier les dates et les heures des fichiers compilés afin d’induire les enquêteurs en erreur. Par exemple, certains échantillons trouvés en 2020 avaient une date de compilation du 4 juin 2020, alors que les horodatages de versions plus récentes étaient affichés comme étant datées du 19 juin 1992. Leur approche unique consiste non seulement à crypter les données, mais aussi à adapter les attaques pour extraire des informations sensibles, telles que des documents financiers, des relevés bancaires, des comptes d’entreprise et du code source. Les entreprises de développement de logiciels sont particulièrement exposées. Bien que Cuba soit sous les feux des projecteurs depuis un certain temps maintenant, ce groupe reste dynamique et affine constamment ses techniques.

Pour protéger votre organisation contre les ransomwares, Kaspersky fait les recommandations suivantes :
• Maintenez toujours les logiciels à jour sur tous les appareils que vous utilisez afin d’empêcher les attaquants d’exploiter les vulnérabilités et d’infiltrer votre réseau.
• Concentrez votre stratégie de défense sur la détection des mouvements latéraux et l’exfiltration des données vers l’internet. Accordez une attention particulière au trafic sortant pour détecter les connexions des cybercriminels à votre réseau. Mettez en place des sauvegardes hors ligne que les intrus ne peuvent pas altérer. Assurez-vous de pouvoir y accéder rapidement en cas de besoin ou d’urgence.
• Activez la protection contre les ransomwares pour tous les terminaux. Il existe un outil gratuit, Kaspersky Anti-Ransomware Tool for Business, qui protège les ordinateurs et les serveurs contre les ransomwares et d’autres types de logiciels malveillants, empêche les exploits et est compatible avec les solutions de sécurité déjà installées.
• Installez des solutions anti-APT et EDR, permettant des capacités de découverte et de détection avancées des menaces, d’investigation et de remédiation rapide des incidents. Donnez à votre équipe SOC l’accès aux dernières informations sur les menaces et la former régulièrement à l’aide de formations professionnelles. Tous ces éléments sont disponibles dans le cadre de Kaspersky Expert Security.

Offrez à votre équipe SOC l’accès aux dernières informations sur les menaces (TI). Le portail Kaspersky Threat Intelligence Portal est un point d’accès unique aux informations sur les menaces de Kaspersky, qui fournit des données sur les cyberattaques et des informations recueillies par notre équipe depuis plus de 20 ans. Afin d’aider les entreprises à mettre en place des défenses efficaces en ces temps troublés, Kaspersky a annoncé l’accès gratuit à des informations indépendantes, mises à jour en permanence et provenant du monde entier sur les cyberattaques et les menaces en cours.