カスペルスキーの調査によると、キューバのランサムウェアグループが新しいマルウェアを広める

ランサムウェアのイラスト(写真:ピクサベイ)

ジャカルタ - カスペルスキーの新しい調査によると、キューバのランサムウェアグループは最近、高度な検出を回避できるマルウェアを広めました。

報告によると、グループは世界中の組織をターゲットにしており、さまざまな業界に侵入された多くの企業に痕跡を残しています。

このキューバのランサムウェアグループの関与は、実際には2022年12月に発見され、カスペルスキーはクライアントシステム上の疑わしいインシデントを検出し、BUGHATCHにつながる3つの疑わしいファイルを公開しました。

BUGHATCHは、プロセスメモリに適用される洗練されたバックドアです。これにより、複数の機能を含むWindows APIを使用して、割り当てられたメモリスペースに組み込まれたシェルコードブロックを実行します。

次に、コマンドアンドコントロール(C2)サーバーに接続し、さらなる指示を待ちます。コバルトストライクビーコンやメタスプロイトなどのソフトウェアをダウンロードするコマンドを受信できます。

調査を続けると、カスペルスキーはVirusTotalのキューバグループにリンクされている新しいマルウェアサンプルを発見しました。これらのサンプルの一部は、他のセキュリティベンダーによる検出を回避することができました。

このサンプルは、ウイルス対策検出を回避するために暗号化されたデータを使用するBURNTCIGARマルウェアの新しいバージョンを表しています。

「当社の最新の調査結果は、最新のレポートや脅威インテリジェンスへのアクセスの重要性を強調しています。キューバのようなランサムウェアギャングが進化し、戦術を洗練するにつれて、潜在的な攻撃を効果的に軽減するためには、主導権を握ることが不可欠です」と、Kasperskyのサイバーセキュリティ専門家であるGleb Ivanov氏は述べています。

キューバは単一のファイルランサムウェアの一種であり、追加のライブラリのない運用のために検出が困難です。このロシア語グループは、その広範囲で知られており、北米、ヨーロッパ、オセアニア、アジアの小売、金融、物流、政府、製造などの業をターゲットにしています。

彼らの操作の特徴は、調査員を誤解させるために編集されたタイムスタンプを変更することです。クンバの一意のアプローチには、データを暗号化するだけでなく、金融文書、銀行記録、会社の口座、ソースコードなどの機密情報データを抽出するように攻撃を調整することも含まれます。