In einer gemeinsamen Sicherheitsmeldung haben die Sicherheitsbehörden FBI und CISA vor der Cuba Ransomware gewarnt. Diese Malware –-der Name hat nichts mit dem Land zu tun – wird seit Dezember 2021 verstärkt von Hackern eingesetzt. Laut Behörden wurden mehr als 100 Unternehmen und Einrichtungen weltweit Opfer der Verschlüsselungssoftware. Die Hacker forderten mehr als 145 Millionen US Dollar Lösegeld für die Freigabe der Daten und PCs, erbeuteten bisher 60 Millionen USD. Und laut Statistiken und Vorhersagen von Experten und Behörden in den USA werden die Übergriffe mittels Verschlüsselungs-Software weiter zunehmen.
Angriffsvarianten der Hacker
Die Cyberkriminellen nutzen für den Einbruch in die Systeme vorrangig Phishing-Kampagnen, Sicherheitslücken, bereits erbeutete Zugangsdaten oder RDP Fernwartungswerkzeuge.
Ist der Einbruch in die Systeme und Netzwerke erfolgreich, wird die Cuba Ransomware über den Loader Hanticor platziert. Hanticor ist ein oft genutztes Tool, um Remote Access Trojans (RATs) oder Stealer zu platzieren und zu starten. Den Hackern geht es laut FBI darum, möglichst vielseitige Zugangsrechte und Domainamin Rechte zu erbeuten. Dazu werden u.a. Schwachstellen im Windows Common Log File System (CLFS)-Treiber ausgenutzt. Zusätzlich wurden gängige Virenscanner deaktiviert, um die Bewegungen der Hacker zu verschleiern.
Neu ist die sogenannte „double extortion“, bei dem die Daten der Opfer vor der Verschlüsselung auf eigene Server bedeutet. Dadurch können die Kriminellen nicht nur Lösegeld fordern sondern auch ein zusätzliches Geld für die Nichtveröffentlichung und Löschung der Kopien, die in der Regel hochsensible Daten enthalten.
Cuba Ransomware: Fokus auf Industrie
IT Sicherheitsforscher konnten im Frühjahr eine Verbindung zwischen den Entwicklern der Cuba Ransomware und RomCom RAT-Akteuren und industriellen Spy- und Ransomware-Akteuren nachweisen. Seitdem setzt die Cuba Malware auf den Remote Access Trojaner RomCom. Seit dem Frühjahr 2022 tauchte die Ransomware vermehrt auf dem industriellen Online-Spionage-Markt auf, was den Fokus auf die internationale Industrie und Wirtschaft verschiebt.
Laut FBI und CISA erfolgten auch Angriffe auf militärische Organisationen, IT-Firmen, Lebensmittelhändler und Hersteller weltweit erfolgt sein. Die Behörden warnen vor weiteren Aktivitäten und veröffentlichten Listen mit Indicators of Compromise (IoCs), sogenannten „Infektionsindikatoren“. Zudem werden Sicherheitshinweise gegeben.