Kaspersky a dévoilé ce 11 septembre les activités alarmantes du groupe de ransomware Cuba, qui met en danger des entreprises mondiales avec des logiciels malveillants indétectables.
Le groupe de ransomware Cuba fait trembler le monde de la cybersécurité avec ses nouvelles manigances ! Dans un récent rapport que nous avons pu consulter, Kaspersky dévoile ses dernières découvertes concernant ce groupe tout bonnement redoutable. Ce dernier déploie des malwares insaisissables et cible des organisations à l'échelle mondiale, mettant en péril des entreprises de divers secteurs d'activité (compagnies pétrolières, services financiers, agences gouvernementales), en France et partout ailleurs. Le mois de décembre 2022 a d'ailleurs été le point de départ de l'enquête, ponctuée par la découverte de trois fichiers suspects sur le serveur d'un client, ce qui a déclenché une série d'événements qui ont révélé l'existence de la bibliothèque komar65, également connue sous le nom de Bughatch.
Un ransomware sophistiqué et un lien Cuba-Russie
Comment fonctionne Bughatch, la porte dérobée sophistiquée qui se cache habilement dans la mémoire du processus ? De façon concrète, elle exécute un bloc de shellcode (une chaîne de caractères qui représente un code binaire exécutable) intégré, interagissant avec l'API Windows et se connectant à un serveur de commande et de contrôle (C2) en attente d'instructions. Cette backdoor est capable de télécharger des logiciels malveillants tels que Cobalt Strike Beacon et Metasploit. L'utilisation de Veeamp suggère une forte implication de Cuba dans ces attaques.
Évoquons ensuite le terme « komar », trouvé dans le fichier PDB. Celui-ci renvoie au mot russe « moustique », qui suggère une possible présence de membres russophones au sein du groupe Cuba, ce qui pourrait prêter à sourire. Des analyses plus poussées des chercheurs de Kaspersky ont révélé d'autres modules utilisés par Cuba pour améliorer les fonctionnalités du logiciel malveillant. L'un de ces modules collecte des informations système, transmises à un serveur par des requêtes HTTP POST.
Les infos en ➕ pour bien comprendre :
Sans surprise, le gang chiffre les fichiers des victimes et exige une rançon en échange d'une clé de déchiffrement. L'exploitation des vulnérabilités logicielles et l'ingénierie sociale sont ses principales techniques pour pénétrer dans un réseau. Il utilise aussi des connexions de bureau à distance compromises pour son accès initial. Cuba utilise quatre modèles d'extorsion :
- Extorsion unique : chiffrement des données et demande de rançon pour le déchiffrement ;
- Double extorsion : chiffrement des données et vol d'informations sensibles, avec menace de publication en cas de non-paiement ;
- Triple extorsion : ajout de la menace d'attaque DDoS pour exposer l'infrastructure de la victime ;
- Quatrième modèle plus rare : pression maximale en divulguant la violation aux investisseurs, actionnaires et clients sans nécessiter d'attaque DDoS.
Les experts ont identifié de nouveaux échantillons de logiciels malveillants attribués à Cuba, échappant à la détection avancée de certains fournisseurs de sécurité. Ces échantillons représentent des itérations récentes du logiciel malveillant Burntcigar, qui utilise le chiffrement pour échapper à la détection antivirus.
Le malware est particulièrement difficile à détecter, et c'est tout le problème
En l'état actuel des choses, les spécialistes cyber soulignent l'importance de rester à l'avant-garde des rapports et des renseignements sur les menaces, car les gangs de ransomware tels que Cuba évoluent rapidement et affinent leurs tactiques jour après jour. Il n'y a pas de mystère : face à l'évolution constante du paysage des cybermenaces, la connaissance est la meilleure défense contre ces groupes cybercriminels émergents.
L'ennui, c'est que Cuba, en tant que souche de ransomware à fichier unique, est particulièrement difficile à détecter. En effet, il n'a pas besoin de bibliothèques additionnelles, figurez-vous. Le groupe russe cible un large éventail de secteurs, notamment la vente au détail, la finance, la logistique, les agences gouvernementales et de santé, et la fabrication, dans diverses régions du monde. Parmi les pays concernés, on peut citer la France, certes dans une mesure moindre que d'autres comme l'Allemagne, les États-Unis, l'Australie, la Chine, le Royaume-Uni, ou encore l'Italie.
Les agents malveillants de Cuba utilisent une combinaison d'outils publics et propriétaires, mettant régulièrement à jour leur arsenal. Ils utilisent des tactiques comme le BYOVD (pour « Bring Your Own Vulnerable Driver ») et modifient les horodatages pour dérouter les enquêteurs. Leur approche unique ne se contente pas de chiffrer les données, mais vise également à extraire des informations sensibles, ce qui rend les entreprises de développement de logiciels particulièrement vulnérables. Et même si Cuba est au centre de l'attention depuis un certain temps, ce groupe reste actif et perfectionne constamment ses techniques.
