Die Ransomware-Gruppe UNC2596, auch bekannt als Cuba, nutzt in Microsoft Exchange gefundene Schwachstellen aus, um Unternehmensendpunkte zu kompromittieren, Daten zu sammeln und schließlich COLDDRAW-Malware einzusetzen.
Cybersicherheitsexperten von Mandiant sind der Ransomware-Gruppe auf der Spur und sagen, dass sie hauptsächlich Unternehmen in den Vereinigten Staaten und Kanada verfolgt.
Der Expertenbericht besagt, dass der Konzern die Schwachstellen ProxyShell und ProxyLogon seit mindestens August 2021 nutzt, um verschiedene Web-Shells, Remote-Access-Trojaner (RATs) und Backdoors auf kompromittierten Systemen einzuschleusen.
Von den verwendeten Hintertüren scheinen CobaltStrike und NetSupport Manager die beliebtesten Optionen zu sein, sie verwenden jedoch häufig interne Produkte namens „Bughatch“, „Wedgecut“, „Burntcigar“ oder „Eck“. Einige von ihnen werden als Aufklärungsinstrumente eingesetzt, andere zur Beendigung von Prozessen und zur Erhöhung von Privilegien.
Der Unterschied zwischen UNC2596 und anderen Ransomware-Gruppen besteht darin, dass diese Gruppe keine extrahierten Daten an Cloud-Dienste sendet. Stattdessen nutzen sie private Infrastruktur.
Ein wachsender Ransomware-Akteur
Die Cuba-Ransomware-Gruppe wurde Berichten zufolge Ende 2019 gegründet und nahm nach einem relativ langsamen Start in den Jahren 2020 und 2021 Fahrt auf. Im Mai 2021 tat sich die Gruppe mit Hancitor-Malware-Spammern zusammen und schaffte es, Passwörter für Unternehmensnetzwerke mit bösartigem DocuSign zu stehlen. Aufzeichnungen.
Ende 2021 veröffentlichte das FBI eine Mitteilung über die Gruppe, in der behauptet wurde, die Gruppe habe gegen 49 kritische Infrastrukturorganisationen in den Vereinigten Staaten verstoßen (auf der Kuba-Leck-Website waren weniger als 30 Opfer aufgeführt). Seine Operationen brachten ihm fast 44 Millionen Euro ein, fügte die Strafverfolgungsbehörde hinzu. Allerdings verlangte er 74 Millionen Euro.
Trotz unbezahlter und bezahlter Lösegeldforderungen in zweistelliger Millionenhöhe ist die Gruppe im Vergleich zu einigen der größten Akteure im Ransomware-Spiel relativ klein.
Cybersicherheitsforscher von Emsisoft sagten beispielsweise, dass es im vergangenen Jahr 105 Ransomware-Lieferungen in Kuba gab, während Conti mehr als 600 hatte.
Via: BleepingComputer