卡巴斯基研究发现古巴勒索软件集团传播新的恶意软件

雅加达 - 卡巴斯基的一项新研究发现,古巴勒索软件集团最近传播了可能避免高级别检测的恶意软件。

据报道,该集团的目标是世界各地的组织,从而在一些公司中留下印记,这些公司已在各个行业被破坏。

古巴勒索软件集团的参与实际上是在2022年12月发现的,卡巴斯基在客户系统中发现了可疑事件,揭示了三个可疑的文件,导致BUGHATCH。

BUGHATCH 是应用于流程内存的先进后门。它执行使用Windows API分配给它的内存区内嵌入的壳牌代码区块,其中包括各种功能。

接下来,连接到指令和控制(C2)服务器,等待进一步的指示。它可以接收下载Cobalt Strike Beacon和Metasploit等软件的命令。

卡巴斯基继续进行调查,在VirusTotal上发现了与古巴集团相关的新恶意软件样本。其中一些样本设法避免被其他安全提供商发现。

此样本代表了 BURNTCIGAR 恶意软件的新版本,该软件使用加密数据以避免抗病毒检测。

“我们的最新发现强调了访问最新报告和威胁情报的重要性。当像古巴这样的勒索软件团伙演变并完善了他们的策略时,保持领先地位对于有效地减轻潜在的攻击至关重要,“卡巴斯基网络安全专家格莱布·伊万诺夫(Gleb Ivanov)说。

古巴是一种单一文件勒索软件,由于其没有额外的图书馆的运行而难以检测。这个俄语集团以其广泛的覆盖范围而闻名,并针对北美、欧洲、大洋洲和亚洲的零售、金融、物流、政府和制造业等行业。

他们操作的独特特之处在于,它改变了编译时间的贴纸,以误导调查人员。古巴的独特方法不仅涉及数据加密,而且还调整攻击以提取敏感信息数据,如财务文件、银行记录、公司账户和源码。