Grupo Cuba: Desentrañando sus Tácticas de Ciberdelito 2023

En la lucha contra el ciberdelito, comprender a Grupo Cuba es esencial. Este informe analiza sus tácticas y amenazas en el ciberespacio.

La amenaza cibernética evoluciona constantemente, y uno de los grupos más enigmáticos y peligrosos en la actualidad es Grupo Cuba. A pesar de que su identidad y ubicación siguen siendo un misterio, su habilidad técnica y su capacidad para llevar a cabo ataques altamente sofisticados son innegables. Desde el robo de datos confidenciales hasta la interrupción de servicios críticos, Grupo Cuba representa una seria preocupación para la seguridad cibernética global.

En este informe, examinaremos de cerca las tácticas, técnicas y procedimientos que caracterizan las operaciones de Grupo Cuba. Comprender su modus operandi es fundamental para fortalecer nuestras defensas cibernéticas y desarrollar estrategias efectivas para contrarrestar sus ataques. Además, este conocimiento es esencial para llevar a cabo investigaciones exhaustivas que permitan identificar y responsabilizar a los perpetradores.

El arsenal de Grupo Cuba incluye una variedad de técnicas de ataque, desde el phishing altamente sofisticado hasta la explotación de vulnerabilidades en software y hardware. Su capacidad para evadir la detección y mantenerse en el anonimato es impresionante, lo que hace que la tarea de rastrear y detener sus actividades sea aún más desafiante.

Este informe tiene como objetivo proporcionar información esencial para estar un paso por delante de amenazas como Grupo Cuba. La colaboración entre la comunidad de seguridad cibernética, las organizaciones gubernamentales y el sector privado es fundamental para enfrentar eficazmente esta creciente amenaza.

Solo a través del conocimiento y la preparación podemos proteger nuestros sistemas y datos críticos en un mundo digital cada vez más complejo y peligroso.

Las ofensivas del grupo aparecieron en nuestro radar por primera vez a finales de 2020. En aquel entonces, los ciberdelincuentes aún no habían adoptado el apodo de “Cuba”; eran conocidos como “Scorpius Tropical”.

Cuba apunta principalmente a organizaciones en Estados Unidos, Canadá y Europa. La pandilla ha realizado una serie de ataques resonantes contra compañías petroleras, servicios financieros , agencias gubernamentales y proveedores de atención médica.

Como ocurre con la mayoría de los ciberextorsionadores últimamente, la pandilla Cuba cifra los archivos de las víctimas y exige un rescate a cambio de una clave de descifrado. La pandilla utiliza tácticas y técnicas complejas para penetrar las redes de las víctimas, como la explotación de vulnerabilidades de software y la ingeniería social. Se sabe que utilizan conexiones de escritorio remoto (RDP) comprometidas para el acceso inicial.

Se desconocen los orígenes exactos de la pandilla cubana y las identidades de sus miembros, aunque algunos investigadores creen que podría ser un sucesor de otra banda de extorsión poco famosa, Babuk. El grupo Cuba, como muchos otros de su tipo, es un equipo de ransomware como servicio (RaaS), que permite a sus socios utilizar el ransomware y la infraestructura asociada a cambio de una parte del rescate que cobren. Grupo Cuba, Grupo Cuba, Grupo Cuba, Grupo Cuba, Grupo Cuba, Grupo Cuba, Grupo Cuba, Grupo Cuba, 

El grupo ha cambiado de nombre varias veces desde sus inicios. Actualmente conocemos los siguientes alias que ha utilizado:

• Dibujo en frío Grupo Cuba, Grupo Cuba, Grupo Cuba, Grupo Cuba, Grupo Cuba, Grupo Cuba, Grupo Cuba, Grupo Cuba, 
• Escorpio tropical Grupo Cuba, Grupo Cuba, Grupo Cuba, Grupo Cuba, Grupo Cuba, Grupo Cuba, Grupo Cuba, Grupo Cuba, 
• Fidel Grupo Cuba, Grupo Cuba, Grupo Cuba, Grupo Cuba, Grupo Cuba, Grupo Cuba, Grupo Cuba, Grupo Cuba, Grupo Cuba, 
• Cuba Grupo Cuba, Grupo Cuba, Grupo Cuba, Grupo Cuba, Grupo Cuba, Grupo Cuba, Grupo Cuba, Grupo Cuba, Grupo Cuba, 

En febrero pasado, nos topamos con otro nombre para la pandilla: “V Is Vendetta”, que se desviaba del tema cubano favorito de los hackers. Podría haber sido un apodo utilizado por un subgrupo o afiliado.

Existe una conexión obvia con la pandilla Cuba: el sitio web del grupo recién descubierto está alojado en el dominio Cuba:

http[:]//prueba[.]cuba4ikm4jakjgmkezytyawtdgr2xymvy6nvzgw5cglswg3si76icnqd[.]cebolla/

Cuba sigue activa al momento de escribir esto y seguimos escuchando sobre nuevas víctimas de extorsión.

Victimología del Grupo Cuba

En esta sección, utilizamos datos proporcionados de forma consensuada por nuestros usuarios e información sobre las víctimas de fuentes abiertas, como informes de otros proveedores de seguridad y el sitio de filtración de datos de la propia banda de ransomware.

El grupo ha atacado a numerosas empresas en todo el mundo. La afiliación a la industria no parece ser un factor: las víctimas incluyen minoristas, servicios financieros y logísticos, agencias gubernamentales, fabricantes y otros. En términos geográficos, la mayoría de las empresas atacadas han estado ubicadas en Estados Unidos, pero ha habido víctimas en Canadá, Europa, Asia y Australia.

Secuestro de datos

El ransomware Cuba es un archivo único sin bibliotecas adicionales. Las muestras suelen tener una marca de tiempo de compilación falsificada: las encontradas en 2020 tenían el sello del 4 de junio de 2020 y las más recientes, el 19 de junio de 1992.

Modelo de extorsión en Cuba

Hoy en día existen cuatro modelos de extorsión en términos de herramientas utilizadas para presionar a la víctima.

• Extorsión única: cifrar datos y exigir un rescate sólo por descifrarlos.
• Doble extorsión: además de cifrar, los atacantes roban información sensible. Amenazan con retener la clave de cifrado y publicar la información robada en línea a menos que la víctima pague. Este es el modelo más popular entre las bandas de ransomware en la actualidad.
• Triple extorsión: agregar una amenaza para exponer la infraestructura interna de la víctima a ataques DDoS. El modelo se generalizó después de que la pandilla LockBit sufriera un ataque DDoS , posiblemente por parte de una víctima. Después de ser atacados, los piratas informáticos se dieron cuenta de que DDoS era una herramienta de presión eficaz, algo que declararon abiertamente , dando ejemplo a otros. Para ser justos, casos aislados de triple extorsión son anteriores al caso LockBit.
• El cuarto modelo es el menos común, ya que implica máxima presión y por tanto es más costoso. Añade la difusión de la noticia de la violación entre los inversores, accionistas y clientes de la víctima. En ese caso, los ataques DDoS no son necesarios. Este modelo está ejemplificado por el reciente ataque a la Universidad Bluefield en Virginia , donde la banda de ransomware AvosLocker secuestró el sistema de transmisión de emergencia de la escuela para enviar a los estudiantes y al personal mensajes de texto y alertas por correo electrónico de que sus datos personales habían sido robados. Los piratas informáticos instaron a no confiar en la dirección de la escuela, que según ellos estaban ocultando la verdadera magnitud de la infracción, y a hacer pública la situación lo antes posible.

El grupo Cuba está utilizando el clásico modelo de doble extorsión, cifrando los datos con el algoritmo simétrico Xsalsa20, y la clave de cifrado, con el algoritmo asimétrico RSA-2048. Esto se conoce como cifrado híbrido, un método criptográficamente seguro que evita el descifrado sin la clave.

Los ejemplos de ransomware Cuba evitan cifrar archivos con las siguientes extensiones de nombre: .exe, .dll, .sys, .ini, .lnk, .vbm y .cuba, y las siguientes carpetas:

• \ventanas\
• \archivos de programa\microsoft office\
• \archivos de programa (x86)\microsoft office\
• \archivos de programa\avs\
• \archivos de programa (x86)\avs\
• \$reciclar.bin\
• \bota\
• \recuperación\
• \Información del Volumen del Sistema\
• \msocache\
• \usuarios\todos los usuarios\
• \usuarios\usuario predeterminado\
• \usuarios\predeterminado\
• \temperatura\
• \inetchache\
• \Google\

El ransomware ahorra tiempo buscando y cifrando documentos, imágenes, archivos y otros archivos de Microsoft Office en el directorio %AppData%\Microsoft\Windows\Recent\, en lugar de todos los archivos del dispositivo. También finaliza todos los servicios SQL para cifrar las bases de datos disponibles. Busca datos tanto localmente como dentro de recursos compartidos de red.

Además de cifrar, el grupo roba datos confidenciales que descubre dentro de la organización de la víctima. El tipo de datos que buscan los piratas informáticos depende de la industria en la que está activa la empresa objetivo, pero en la mayoría de los casos, extraen lo siguiente:

• Documentos financieros
• Estados de cuenta bancarios
• Detalles de las cuentas de la empresa
• Código fuente, si la empresa es desarrolladora de software

Arsenal

El grupo emplea herramientas de acceso a credenciales “clásicas” conocidas, como mimikatz, y aplicaciones escritas por usted mismo. Explota vulnerabilidades en el software utilizado por las empresas víctimas: problemas en su mayoría conocidos, como la combinación de ProxyShell y ProxyLogon para atacar servidores Exchange, y agujeros de seguridad en el servicio de copia de seguridad y recuperación de datos de Veeam.

• Bughatch
• cigarro quemado
• Cobeacon
• Hancitor (Chanitor)
• Termita
• SistemaBC
• Veeamp
• Corte en cuña
• RATA RomCOM

• Mimikatz
• Potencia Shell
• PsExec
• Protocolo de escritorio remoto

ProxyShell:

• CVE-2021-31207
• CVE-2021-34473
• CVE-2021-34523

Inicio de sesión proxy:

• CVE-2021-26855
• CVE-2021-26857
• CVE-2021-26858
• CVE-2021-27065

Vulnerabilidades de Veeam:

• CVE-2022-26501
• CVE-2022-26504
• CVE-2022-26500

Inicio de sesión cero :

• CVE-2020-1472

Beneficios

Los pagos entrantes y salientes en las carteras bitcoin cuyos identificadores proporcionan los piratas informáticos en sus notas de rescate superan un total de 3.600 BTC, o más de 103.000.000 de dólares convertidos a razón de 28.624 dólares por 1 BTC. La pandilla posee numerosas billeteras, transfiere fondos constantemente entre ellas y utiliza mezcladores de bitcoins: servicios que envían bitcoins a través de una serie de transacciones anónimas para hacer que el origen de los fondos sea más difícil de rastrear.

Investigación de un incidente relacionado con Cuba y análisis del malware

Anfitrión: SRV_STORAGE

El 19 de diciembre, detectamos actividad sospechosa en el host de un cliente, al que nos referiremos como “SRV_STORAGE” en este informe. Los datos de telemetría mostraron tres archivos nuevos sospechosos:

Un análisis de kk65.bat sugirió que sirvió como un escenario que inició toda la actividad adicional al iniciar rundll32 y cargar en él la biblioteca komar65, que ejecuta la función de devolución de llamada DLLGetClassObjectGuid.

Echemos un vistazo al interior de la DLL sospechosa.

Bughatch

La biblioteca komar65.dll también se conoce como “Bughatch”, nombre que le dio en un informe de Mandiant.

Lo primero que nos llamó la atención fue la ruta al archivo PDB.

Dentro hay una carpeta llamada “mosquito”, que se traduce al ruso como “komar”.

Este último es parte del nombre DDL, lo que sugiere que la pandilla puede incluir hablantes de ruso.

El código DLL presenta Mozilla/4.0 como el agente de usuario cuando se conecta a las dos direcciones siguientes:

• com, aparentemente usado para verificar la conectividad externa
• El centro de mando y control de la pandilla. El malware intentará llamar a casa si se realiza el ping inicial.

Este es el tipo de actividad que observamos en el huésped infectado. Después de que Bughatch estableció con éxito una conexión con el servidor C2, comenzó a recopilar datos sobre los recursos de la red.

Al examinar los servidores C2, descubrimos que, además de Bughatch, estos distribuyen módulos que amplían la funcionalidad del malware. Uno de ellos recopila información del sistema infectado y la envía de vuelta al servidor en forma de una solicitud HTTP POST.

Se podría pensar en Bughatch como una especie de puerta trasera, implementada dentro de la memoria del proceso y ejecutando un bloque de código shell dentro del espacio asignado con la ayuda de las API de Windows (VirtualAlloc, CreateThread, WaitForSingleObject), para luego conectarse al C2 y esperar más. instrucciones. En particular, el C2 puede enviar un comando para descargar más malware, como Cobalt Strike Beacon, Metasploit u otros módulos Bughatch.

SRV_host de servicio

Veeamp

Después de un tiempo, encontramos un proceso malicioso iniciado en un host vecino; A esto lo llamamos “SRV_Service”:

Inicio de proceso malicioso

Veeamp.exe es un volcado de datos personalizado escrito en C#, que aprovecha las fallas de seguridad en el servicio de respaldo y recuperación de Veeam para conectarse a la base de datos SQL de VeeamBackup y obtener las credenciales de la cuenta.

Veeamp explota las siguientes vulnerabilidades de Veeam: CVE-2022-26500, CVE-2022-26501, CVE-2022-26504. Los dos primeros permiten a un usuario no autenticado ejecutar código arbitrario de forma remota, y el tercero permite a los usuarios del dominio hacer lo mismo. Después de que cualquiera de los tres sea explotado, el malware muestra lo siguiente en el panel de control:

• Nombre de usuario
• Contraseña cifrada
• Contraseña descifrada
• Descripción del usuario en la tabla Credenciales de Veeam: membresía de grupo, permisos, etc.

El malware no es exclusivo de la pandilla Cuba. También lo vimos en ataques de otros grupos, como Conti y Yanluowang .

La actividad que vimos en SRV_Service después de que Veeamp terminó su trabajo fue similar a la que habíamos observado en SRV_STORAGE con Bughatch:

Como fue el caso con SRV_STORAGE, el malware colocó tres archivos en la carpeta temporal y luego los ejecutó en el mismo orden, conectándose a las mismas direcciones.

Controlador Avast Anti-Rootkit

Después de que Bughatch estableció con éxito una conexión con su C2, vimos cómo el grupo utilizaba una técnica cada vez más popular: Traiga su propio controlador vulnerable (BYOVD).

Los actores maliciosos instalan el controlador vulnerable en el sistema y posteriormente lo utilizan para diversos fines, como finalizar procesos o evadir defensas mediante la escalada de privilegios al nivel del kernel.

Los piratas informáticos se sienten atraídos por los controladores vulnerables porque todos se ejecutan en modo kernel, con un alto nivel de acceso al sistema. Además, un conductor legítimo con una firma digital no generará ninguna señal de alerta ante los sistemas de seguridad, lo que ayudará a los atacantes a pasar desapercibidos durante más tiempo.

Durante el ataque, el malware creó tres archivos en la carpeta temporal:

• aswarpot.sys : un controlador anti-rootkit legítimo de Avast que tiene dos vulnerabilidades: CVE-2022-26522 y CVE-2022-26523 , que permiten a un usuario con permisos limitados ejecutar código a nivel de kernel.
• KK.exe : malware conocido como Burntcigar. El archivo que encontramos era una nueva variedad que utilizaba el controlador defectuoso para finalizar procesos.
• Script por lotes av.bat : un escenario que ayuda al servicio del kernel a ejecutar el controlador Avast y ejecuta Burntcigar.

El análisis del archivo BAT y los datos de telemetría sugiere que av.bat usa la utilidad sc.exe para crear un servicio llamado “aswSP_ArPot2”, especificando la ruta al controlador en el directorio С\windows\temp\ y el tipo de servicio como servicio del kernel. . Luego, el archivo BAT inicia el servicio con la ayuda de la misma utilidad sc.exe y ejecuta KK.exe, que se conecta al controlador vulnerable.

Cigarro quemado

Lo primero que notamos al examinar Burntcigar fue la ruta al archivo PDB, que contenía una carpeta curiosamente llamada “Musor” (el ruso significa “basura”), una indicación más de que los miembros de la pandilla Cuba pueden hablar ruso.

Además, descubrimos que la muestra en cuestión era una nueva versión de Burntcigar, indetectable por los sistemas de seguridad en el momento del incidente. Al parecer, los piratas informáticos habían actualizado el malware, ya que tras ataques anteriores, muchos proveedores pudieron detectar fácilmente la lógica ejecutada por versiones anteriores.

Es posible que haya notado que en la captura de pantalla de nuestro ejemplo a continuación, todos los datos sobre los procesos que se van a finalizar están cifrados, mientras que las versiones anteriores mostraban abiertamente los nombres de todos los procesos que los atacantes querían detener.

El malware busca nombres de procesos que sugieran una relación con productos AV o EDR populares y agrega sus ID de proceso a la pila para finalizar más tarde.

Burntcigar utiliza la función DeviceIoContol para acceder al controlador Avast vulnerable, especificando la ubicación del código que contiene el problema de seguridad como opción de ejecución. El fragmento de código contiene la función ZwTerminateProcess, que los atacantes utilizan para finalizar procesos.

Afortunadamente, la autodefensa de nuestro producto pudo hacer frente al malware bloqueando todos los enlaces al controlador.

Más tarde, descubrimos una actividad similar que explotaba el controlador anti-rootkit de Avast en el servidor Exchange y el host SRV_STORAGE. En ambos casos, los atacantes utilizaron un archivo BAT para instalar el controlador inseguro y luego iniciar Burntcigar.

Host SRV_MAIL (servidor Exchange)

El 20 de diciembre, el cliente accedió a nuestra solicitud de agregar el servidor Exchange al alcance del monitoreo. El host debe haber sido utilizado como punto de entrada a la red del cliente, ya que al servidor le faltaban actualizaciones críticas y era susceptible a la mayoría de los vectores de acceso iniciales del grupo.

En particular, SRV_MAIL tenía las vulnerabilidades ProxyLogon, ProxyShell y Zerologon aún sin corregir.

Por eso creemos que los atacantes penetraron en la red del cliente a través del servidor Exchange.

En SRV_MAIL, el usuario SqlDbAdmin mostró el mismo tipo de actividad que habíamos observado en los hosts anteriores.

Descubrimos que los atacantes estaban utilizando la herramienta legítima gotoassisistui.exe para transferir archivos maliciosos entre los hosts infectados.

GoToAssist es una utilidad de soporte RDP que suelen utilizar los equipos de soporte técnico, pero a menudo se abusa de la aplicación para evitar las defensas de seguridad o los equipos de respuesta al mover archivos entre sistemas.

También descubrimos que se estaban ejecutando nuevas muestras de Bughatch. Estos utilizaban nombres de archivos, funciones de devolución de llamadas y servidores C2 ligeramente diferentes, ya que nuestros sistemas bloqueaban con éxito versiones anteriores del malware en ese momento.

Administrador SqlDb

Nos preguntamos quién era ese SqlDbAdmin. La respuesta llegó a través de una DLL sospechosa, addp.dll, que encontramos manualmente en un host comprometido.

Descubrimos que utilizaba la función NetUserAdd de WIN API para crear el usuario. El nombre y la contraseña estaban codificados dentro de la DLL.

A medida que profundizamos en la biblioteca, descubrimos que utilizaba la función RegCreateKey para habilitar sesiones RDP para el usuario recién creado modificando una configuración de registro. Luego, la biblioteca agregó al usuario al árbol de registro de cuentas especiales para ocultarlo de la pantalla de inicio de sesión del sistema, una técnica de persistencia interesante y poco convencional. En la mayoría de los casos, los malos actores agregan nuevos usuarios con la ayuda de scripts que los productos de seguridad rara vez pasan por alto.

Golpe de cobalto

Encontramos una DLL sospechosa, ion.dll, ejecutándose en el servidor Exchange como parte del proceso rundll32 con opciones de ejecución inusuales. Al principio, pensamos que la actividad era similar a la que habíamos visto anteriormente con Bughatch. Sin embargo, un análisis más detallado mostró que la biblioteca era, de hecho, una baliza de ataque de cobalto.

Cuando mirábamos el código ion.dll, lo que nos llamó la atención fue la configuración de ejecución y una función que utiliza la configuración de Cobalt Strike. La biblioteca utilizó la función VirtualAlloc para asignar memoria de proceso para ejecutar la carga útil de Cobalt Strike Beacon más adelante.

Todos los datos de configuración estaban cifrados, pero encontramos la función utilizada para descifrarlos. Para encontrar el servidor Cobalt Strike C2, inspeccionamos un volcado de memoria rundll32 con ion.dll cargado, ejecutándose con la misma configuración que tenía en el host de la víctima.

Conocer el nombre del C2 nos ayudó a localizar el historial de comunicaciones con ese servidor dentro de los datos de telemetría. Después de que el malware se conectó al C2, descargó dos archivos sospechosos en la carpeta de Windows en el servidor infectado y luego los ejecutó. Desafortunadamente, no pudimos obtener los dos archivos para analizarlos, ya que los piratas informáticos no lograron desactivar la seguridad en el paso anterior y los archivos fueron borrados del host infectado. Sin embargo, creemos que nos enfrentamos al ransomware en sí.

El cliente aisló rápidamente los hosts afectados y remitió el incidente al equipo de respuesta a incidentes de Kaspersky para una mayor investigación y búsqueda de posibles artefactos. Esta fue la última vez que vimos la actividad del actor malicioso en el sistema del cliente. Los anfitriones evitaron el cifrado gracias a que el cliente siguió nuestras recomendaciones e instrucciones y respondió al incidente a tiempo.

Nuevo malware

Descubrimos que VirusTotal contenía nuevas muestras del malware Cuba con los mismos metadatos de archivo que los del incidente descrito anteriormente. Algunas de esas muestras habían evadido con éxito la detección por parte de todos los proveedores de ciberseguridad.

Realizamos nuestro análisis en cada una de las muestras. Como puede ver en la captura de pantalla siguiente, estas son nuevas versiones de Burntcigar que utilizan datos cifrados para evadir el malware. Hemos creado reglas de Yara que detectan estas nuevas muestras y las proporcionamos en el archivo adjunto de este artículo.

BYOVD (traiga su propio controlador vulnerable)

Ahora analizaremos más de cerca un ataque que utiliza controladores inseguros, que observamos mientras investigamos el incidente y que actualmente está ganando popularidad a medida que varias bandas APT y ransomware lo agregan a sus arsenales.

Bring Your Own Vulnerable Driver (BYOVD) es un tipo de ataque en el que el malhechor utiliza controladores legítimos firmados que se sabe que contienen un agujero de seguridad para ejecutar acciones maliciosas dentro del sistema. Si tiene éxito, el atacante podrá explotar las vulnerabilidades en el código del controlador para ejecutar cualquier acción maliciosa a nivel del kernel.

Comprender por qué este es uno de los tipos de ataques más peligrosos requiere un repaso rápido de cuáles son los controladores. Un controlador es un tipo de software que actúa como intermediario entre el sistema operativo y el dispositivo. El controlador convierte las instrucciones del sistema operativo en comandos que el dispositivo puede interpretar y ejecutar. Otro uso de los controladores es admitir aplicaciones o funciones de las que originalmente carece el sistema operativo. Como puede ver en la imagen a continuación, el controlador es una especie de capa entre el modo de usuario y el modo kernel.

Las aplicaciones que se ejecutan en modo de usuario tienen menos privilegios para controlar el sistema. Lo único a lo que pueden acceder es a un área de memoria virtualizada que está aislada y protegida del resto del sistema. El controlador se ejecuta dentro de la memoria del kernel y puede ejecutar cualquier operación como el propio kernel. El conductor puede acceder a estructuras de seguridad críticas y modificarlas. Modificaciones como esa hacen que el sistema sea vulnerable a ataques que utilizan la escalada de privilegios, la desactivación de los servicios de seguridad del sistema operativo y la lectura y escritura arbitrarias.

La pandilla Lazarus hizo uso de esa técnica en 2021 cuando obtuvieron acceso de escritura a la memoria del kernel y deshabilitaron las funciones de seguridad de Windows al abusar de un controlador Dell que contenía la vulnerabilidad CVE-2021-21551 .

No existe una defensa segura frente a los conductores legítimos, porque cualquier conductor podría tener un fallo de seguridad. Microsoft ha publicado una lista de recomendaciones para protegerse contra este tipo de técnicas:

• Habilite la integridad del código protegido por hipervisor.
• Habilite la integridad de la memoria.
• Habilitar la validación de las firmas digitales del conductor.
• Utilice la lista de bloqueo de controladores vulnerables .

Sin embargo, los estudios sugieren que las recomendaciones son irrelevantes incluso con todas las funciones de protección de Windows habilitadas, y ataques como estos ocurren de todos modos.

Para contrarrestar esta técnica, muchos proveedores de seguridad comenzaron a agregar un módulo de autodefensa a sus productos que evita que el malware finalice procesos y bloquea todo intento de explotar controladores vulnerables. Nuestros productos también tienen esa característica y resultó eficaz durante el incidente.

Conclusión

La banda cubana de cibercrimen emplea un amplio arsenal de herramientas disponibles públicamente y hechas a medida, que mantiene actualizadas, y diversas técnicas y métodos, incluidos algunos bastante peligrosos, como BYOVD. Combatir ataques a este nivel de complejidad requiere tecnología sofisticada capaz de detectar amenazas avanzadas y proteger las funciones de seguridad para que no se deshabiliten, y una base de conocimientos sobre amenazas masiva y continuamente actualizada que ayude a detectar artefactos maliciosos manualmente.

El incidente detallado en este artículo muestra que la investigación de ciberataques de la vida real y la respuesta a incidentes, como la Detección y Respuesta Administradas (MDR), son fuentes de la información más reciente sobre tácticas, técnicas y procedimientos maliciosos. En particular, durante esta investigación, descubrimos muestras nuevas y no detectadas previamente del malware Cuba, y artefactos que sugieren que al menos algunos de los miembros de la pandilla hablaban ruso.

Dicho esto, la investigación y respuesta efectivas comienzan con el conocimiento de las ciberamenazas actuales, que está disponible en los servicios de Threat Intelligence. En Kaspersky, los equipos de Threat Intelligence y MDR trabajan estrechamente mientras intercambian datos y mejoran sus servicios todo el tiempo.

Apéndice

Reglas Sigma y YARA: https://github.com/BlureL/SigmaYara-Rules
Indicadores de compromiso: Descargar PDF
Matrices Mitre ATT&CK: Descargar PDF

Por Marcelo Lozano – General Publisher IT CONNECT LATAM

Lea más sobre ciberseguridad en:

DB#Jammer: la amenaza emergente del 2023 de Ataques a Servidores MS-SQL 

Ciberseguridad: Comunicación en los Planes de Continuidad de Negocio 2023

W3LL DONE: Máquina aceitada Group-IB descubre phishing BEC dirigido a Microsoft 365.

Seguridad en el login en un contexto de IA siglo 21

Cripto Dusting 2023: ¿Qué tipo de ataque es?

NO TE PIERDAS EL ÚLTIMO IT CONNECT SECURE STREAM