Contact
QR code for the current URL

Story Box-ID: 1089288

8com GmbH & Co. KG Europastraße 32 67433 Neustadt an der Weinstraße, Germany http://www.8com.de
Contact Ms Felicitas Kraus +49 30 3030808914
Company logo of 8com GmbH & Co. KG

FBI warnt vor Cuba Ransomware-Gruppe

49 Organisationen aus fünf Sektoren der kritischen Infrastruktur wurden laut FBI von der Ransomware-Gruppe Cuba angegriffen. Der Schaden beträgt mindestens 43,9 Millionen US-Dollar.

(PresseBox) (Neustadt an der Weinstraße, )
Ende der vergangenen Woche warnte das amerikanische FBI in einer Mitteilung vor den Machenschaften der Cuba-Ransomware-Gruppe. Diese hat es in letzter Zeit offenbar ganz besonders auf Unternehmen aus den Bereichen Finanzen, Gesundheitswesen, Fertigung, Informationstechnologie und auf Regierungsorganisationen abgesehen, die der kritischen Infrastruktur zugerechnet werden. In der Mitteilung wird von 49 bekannten Fällen berichtet, bei denen mindestens 43,9 Millionen US-Dollar an Lösegeldern erpresst wurden. Als ob diese Summe nicht bereits hoch genug wäre, beliefen sich die ursprünglichen Forderungen der Hacker laut FBI-Schätzungen auf sage und schreibe 74 Millionen US-Dollar.

Verbreitet wird die Cuba-Ransomware durch die Hancitor-Malware, um Zugang zu Windows-Systemen zu erhalten. Dieser Loader ist dafür bekannt, Schädlinge wie Remote-Access-Trojaner (RATs) und Ransomware in Netzwerke einzuschleusen. Verbreitet wird sie sowohl über Phishing-E-Mails, Microsoft Exchange-Sicherheitslücken, kompromittierte Anmeldeinformationen oder legitime Remote Desktop Protocol (RDP)-Tools, um ersten Zugriff auf das Netzwerk eines Opfers zu erhalten. Anschließend kommen legitime Windows-Dienste wie PowerShell, PsExec und andere nicht spezifizierte Dienste zum Einsatz, mit denen dann Windows-Administratorrechte ausgenutzt werden können, um die eigentliche Ransomware und andere Prozesse aus der Ferne auszuführen.

Sobald ein Opfersystem kompromittiert ist, installiert die Ransomware ein Cobalt Strike-Beacon und führt es aus, während zwei weitere Dateien heruntergeladen werden. Diese beiden Dateien ermöglichen es Angreifern wiederum, Passwörter auszuspähen und eine TMP-Datei im kompromittierten Netzwerk auszuführen, die Aufrufe des Application Programming Interface (API) durchführt. Anschließend löscht sich die TMP-Datei selbst und das Netzwerk beginnt, mit einem Malware-Repository zu kommunizieren, von dem bekannt ist, dass es sich auf einer URL in Montenegro befindet.

Zudem verwendet die Cuba-Gruppe die Malware MimiKatz, um Anmeldeinformationen zu stehlen, mit denen sie sich dann beim angegriffenen Netzwerk-Host anmelden können. Dies erfolgt über eine RDP-Verbindung, über die die Kriminellen eine Verbindung zwischen dem Cobalt Strike-Server und dem kompromittierten Netzwerk herstellen. Eine der anfänglichen PowerShell-Skriptfunktionen weist dann Speicherplatz zum Ausführen einer base64-codierten Nutzlast zu. Sobald diese Nutzlast in den Arbeitsspeicher geladen wurde, kann sie verwendet werden, um Kontakt zu einem Command-and-Control-Server (C2) herzustellen, über den dann die nächste Stufe der Dateien für die Ransomware heruntergeladen werden.

Neben der Beschreibung der Vorgehensweise fügte das FBI seiner Warnung jeweils ein Muster einer Lösegeldforderung und einer E-Mail hinzu, die die Opfer erhalten. Interessant ist auch, dass die Cuba-Ransomware-Gruppe, obwohl schon seit Jahren aktiv, seit Anfang des Jahres eine Leak-Seite im Internet betreibt. Über diese Seite veröffentlicht die Gruppe erbeutete Daten, sollte das Opfer nicht zahlen. Damit reihen sie sich in eine zunehmende Zahl an Ransomware-Gruppen ein, die sich dadurch einen weiteren Hebel verschaffen, mit dem sie ihre Opfer unter Druck setzen. Laut dem Hersteller von Sicherheitssoftware, McAfee, sind auch einige Fälle bekannt, in denen gestohlene Daten verkauft wurden. Die Gruppe zielt in der Regel auf Unternehmen in den USA, Südamerika und Europa ab.

Besonders überraschend an diesem Fall ist die Erfolgsquote der Hacker-Gruppe, denn 43,9 Millionen US-Dollar sind eine extrem hohe Ausbeute für eine vergleichsweise geringe Zahl an Angriffen – auch im Vergleich zu anderen Ransomware-Gruppierungen. Das Sicherheitsunternehmen Emsisoft registrierte beispielsweise nur etwa 105 Angriffe der Cuba-Gruppe in diesem Jahr. Die wesentlich bekanntere Conti-Ransomware-Gruppe kam hingegen auf 653 Angriffe. Daraus lassen sich auch Rückschlüsse auf die Schadenssummen ziehen, die Jahr für Jahr durch Ransomware entstehen. Wenn ein vergleichsweise kleiner Akteur bereits derart hohe Summen erbeuten kann, könnten die Gewinne anderer, größerer Gruppen noch deutlich darüberliegen – auch über den bisher bekannten Lösegeldsummen.

8com GmbH & Co. KG

Das 8com Cyber Defense Center schützt die digitalen Infrastrukturen von 8coms Kunden effektiv vor Cyberangriffen. Es beinhaltet ein Security Information and Event Management (SIEM), Vulnerability Management sowie professionelle Penetrationstests. Zudem bietet es den Aufbau und die Integration eines Information Security Management Systems (ISMS) inklusive Zertifizierung nach gängigen Standards. Awareness-Maßnahmen, Security Trainings und ein Incident Response Management runden das Angebot ab.

8com gehört zu den führenden Anbietern von Awareness-Leistungen und Informationssicherheit in Europa. Seit 15 Jahren ist das Ziel von 8com, Kunden die bestmögliche Leistung zu bieten und gemeinsam ein ökonomisch sinnvolles, aber trotzdem möglichst hohes Informationssicherheitsniveau zu erzielen. Durch die einzigartige Kombination aus technischem Know-how und direkten Einblicken in die Arbeitsweisen von Cyberkriminellen können die Cyber-Security-Experten bei ihrer Arbeit auf fundierte Erfahrungswerte zurückgreifen.

The publisher indicated in each case (see company info by clicking on image/title or company info in the right-hand column) is solely responsible for the stories above, the event or job offer shown and for the image and audio material displayed. As a rule, the publisher is also the author of the texts and the attached image, audio and information material. The use of information published here is generally free of charge for personal information and editorial processing. Please clarify any copyright issues with the stated publisher before further use. In case of publication, please send a specimen copy to service@pressebox.de.
Important note:

Systematic data storage as well as the use of even parts of this database are only permitted with the written consent of unn | UNITED NEWS NETWORK GmbH.

unn | UNITED NEWS NETWORK GmbH 2002–2024, All rights reserved

The publisher indicated in each case (see company info by clicking on image/title or company info in the right-hand column) is solely responsible for the stories above, the event or job offer shown and for the image and audio material displayed. As a rule, the publisher is also the author of the texts and the attached image, audio and information material. The use of information published here is generally free of charge for personal information and editorial processing. Please clarify any copyright issues with the stated publisher before further use. In case of publication, please send a specimen copy to service@pressebox.de.