60 Millionen US-Dollar erbeutet: FBI und CISA warnen vor Cuba-Ransomware

FBI und CISA warnen vor der Cuba-Ransomware. Die Akteure dahinter hätten inzwischen 100 Einrichtungen befallen und 60 Millionen US-Dollar Lösegeld erpresst.

In Pocket speichern vorlesen Druckansicht 1 Kommentar lesen

(Bild: vectorfusionart/Shutterstock.com)

Lesezeit: 4 Min.
Von
Inhaltsverzeichnis

Im vergangenen Jahr haben die Akteure hinter der Cuba-Ransomware mehr als 100 Institutionen weltweit angegriffen und mehr als 60 Millionen US-Dollar Lösegeld erpresst. Die US-Sicherheitsbehörden CISA und FBI warnen nun vor der Malware. Sie erläutern Schutzmaßnahmen sowie Hinweise, einen Befall zu erkennen.

Die Behörden erklären in einer gemeinsamen Sicherheitsmeldung, dass seit dem Dezember 2021 mehr als 100 Einrichtungen weltweit der Cybergang zum Opfer fielen. Die Erpresser forderten dabei mehr als 145 Millionen US-Dollar an Lösegeld, wobei sie tatsächlich 60 Millionen US-Dollar an Lösegeldzahlungen erhalten haben sollen.

Die Autoren der Meldung erläutern, dass die Akteure hinter der Cuba-Ransomware – die nichts mit dem Land zu tun hat, auf diesen Hinweis legen FBI und CISA wert – die initialen Netzwerkeinbrüche vorrangig mittels Missbrauchen von bekannten Sicherheitslücken in kommerzieller Software durchführte. Auch durch Phishing-Kampagnen, kompromittierter Zugangsdaten sowie legitimer RDP-Fernwartungswerkzeuge gelangen die Attacken.

Nach dem initialen Zugriff verteilen die Angreifer die Cuba-Ransomware auf den kompromittierten Systemen mittels Hancitor. Dabei handelt es sich um einen Loader, der dafür bekannt ist, Stealer zu platzieren oder zu starten sowie Remote Access Trojans (RATs) und andere Arten von Ransomware in die Opfer-Netzwerke einzubringen.

Die Drahtzieher hinter der Ransomware missbrauchten Schwachstellen im Windows Common Log File System (CLFS)-Treiber, um System-Token zu stehlen und ihre Rechte auszuweiten. Sie nutzten ein PowerShell-Skript, um Dienstekonten und ihre zugehörigen Active-Directory-Kerberos-Tickets zu identifizieren und diese mittels Kerberoasting zu knacken. Zudem kam ein Werkzeug namens KerberCache zum Einsatz, um Kerberos-Tickets aus dem LSASS-Speicher auszulesen. Schließlich nutzten sie ein Tool, um die Schwachstelle ZeroLogon (CVE-2020-1472) zum Ergattern von Domain-Administrator-Rechten zu erlangen. Es geht ihnen offenbar darum, möglichst weitreichend Zugang zu erhalten.

Weiterhin versuchen die Cyberkriminellen, der Entdeckung bei ihren Bewegungen durch das Netzwerk zu entgehen. So haben sie Kernel-Treiber wie AcpHelper.sys installiert, mit denen sie schließlich Sicherheitsprodukte wie Virenscanner deaktivieren können. Trend Micro berichtete vor einigen Wochen von solchen Tricks von IT-Einbrechern.

Die Verantwortlichen hinter der Cuba-Ransomware haben ihre Vorgangsweisen aber auch sonst weiter entwickelt. So setzen sie inzwischen auf sogenannte "double extortion", was das Kopieren der Daten auf Server der Erpresser vor der Verschlüsselung bedeutet. So können sie nicht nur Lösegeld für die Entschlüsselung der Daten einfordern, sondern auch eine Art Schweigegeld für das Löschen und die Nichtveröffentlichung der erbeuteten, in der Regel sensiblen Daten.

Seit dem Frühjahr 2022 haben IT-Sicherheitsforscher Verbindungen von den Cuba-Ransomware-Machern mit RomCom RAT-Akteuren und industriellen Spy- und Ransomware-Akteuren ausgemacht. So setzt Cuba-Ransomware seitdem auf RomCom, einem individuell angepassten Remote Access Trojan, als Command- and-Control-Schnittstelle. Die Drahtzieher stehen im Verdacht, eine Firma aus dem Gesundheitswesen mit industrieller Spy-Ransomware verseucht zu haben, die einige Ähnlichkeiten mit der Cuba-Ransomware aufweise. Zunächst hatte die Cuba-Ransomware-Gang eine eigene Leak-Site zum Verkauf gestohlener Daten genutzt. Seit Mai des Jahres etwa setzte sie jedoch auf einen industriellen Online-Spionage-Markt.

Die RomCom-Akteure sollen international militärische Organisationen, IT-Firmen, Lebensmittelhändler und Hersteller angegriffen haben. Sie kopierten dazu legtimen HTML-Code der öffentlichen Webseiten und veränderten ihn so, dass sie auf gefälschte Domains zeigen. So konnten sie trojanisierte Softwareversionen etwa von SolarWinds Network Performance Monitor (NPM), KeePass Passwort-Manager, PDF Reader Pro und Advances IP Scanner anbieten und im letzten Installationsstadium das RomCom RAT installieren.

In der Sicherheitsmeldung ergänzen CISA und FBI lange Listen mit Indicators of Compromise (IoCs), also Hinweisen, die auf eine Infektion hindeuten. Zudem geben sie die üblichen und bekannten Sicherheitshinweise, wie IT-Verantwortliche ihre Netze vor solchen Einbrüchen schützen können. Da die Einbrüche in der Regel über ältere, ungepatchte Sicherheitslücken erfolgen, sollte ein schnelles und umfassendes Patch-Management helfen. Und natürlich ist ein Backup immer hilfreich, um die Arbeitsfähigkeit und Daten nach einem Vorfall schnell wiederherzustellen.

(dmk)