Авторы шифровальщика Cuba добавили в арсенал бэкдор и обход антивирусов

Авторы шифровальщика Cuba добавили в арсенал бэкдор и обход антивирусов

Авторы шифровальщика Cuba добавили в арсенал бэкдор и обход антивирусов

Проведенный в «Лаборатории Касперского» разбор атаки шифровальщика Cuba показал, что в распоряжении кибергруппы появились новые инструменты для сокрытия вредоносной активности.

В частности, в зараженной системе компании-жертвы были обнаружены три подозрительных файла, запускающие последовательность действий, которые привели к загрузке вредоносной библиотеки komar65, также известной как Bughatch.

Зловред представляет собой бэкдор, который разворачивается в памяти процесса и выполняет встроенный шелл-код в выделенном ему пространстве, используя API Windows. После этого он подключается к C2-серверу и ждет дальнейших инструкций.

 

По команде Bughatch может загрузить маячок Cobalt Strike, Metasploit или дополнительный модуль, расширяющий его функциональность, — например, для сбора и вывода информации с зараженной системы.

Прикрытие бэкдору в ходе атаки обеспечил известный вредонос Burntcigar — по всей видимости, новая версия, так как на момент инцидента защитные решения его не детектировали. Зловред умеет прибивать процессы антивирусов и EDR; их имена, против обыкновения, были зашифрованы.

«Наши исследования демонстрируют важность наличия доступа к аналитическим отчётам об актуальных киберугрозах у ИБ-специалистов компаний, — отметил эксперт Kaspersky Глеб Иванов. — Группы вымогателей, такие как Cuba, всё время развиваются и совершенствуют свои тактики, поэтому крайне важно быть на шаг впереди для эффективного противодействия потенциальным атакам. В условиях постоянно меняющегося ландшафта угроз осведомлённость о возможных рисках — одна из важных составляющих защиты от последствий киберинцидентов».

Группировка Cuba, по словам аналитиков, использует схему двойного вымогательства, а также сложные тактики и методы проникновения в сети, в том числе BYOVD (Bring Your Own Vulnerable Driver) и краденые учетки RDP. Используемые инструменты разнообразны и постоянно совершенствуются; чтобы ввести исследователей в заблуждение, злоумышленники фальсифицируют временные метки компиляции.

Шифровальщик Cuba, доступный в даркнете как услуга (Ransomware-as-a-Service, RaaS), использует техники однофайлового развёртывания (без загрузки вредоносной библиотеки), что сильно затрудняет анализ. Шифрование данных осуществляется по а алгоритму Xsalsa20, для защиты ключей используется RSA-2048.

Выбор целей не зависит от профиля организаций. Среди жертв числятся торговые, логистические, финансовые, государственные учреждения, а также промышленные предприятия. На настоящий момент заражения зафиксированы в Северной Америке, Европе, Азии и Океании.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

РЖД внедрит технологии на базе KasperskyOS и защиту контейнеров

«Лаборатория Касперского» и РЖД подписали соглашение о стратегическом сотрудничестве в сфере кибербезопасности. Документ был заключён на форуме «Цифровая транспортация 2025», подписи под ним поставили вице-президент компании Анна Кулашова и заместитель генерального директора ОАО «РЖД» Евгений Чаркин.

Сотрудничество предусматривает тестирование и внедрение технологий на базе операционной системы KasperskyOS, а также меры по защите контейнерных сред в ИТ-инфраструктуре РЖД.

KasperskyOS — собственная разработка компании. Это микроядерная система, где число строк кода в ядре минимизировано, а компоненты работают изолированно. Такая архитектура позволяет продолжать выполнение критических функций даже при сбое отдельных модулей.

Анна Кулашова отметила, что железнодорожная инфраструктура часто становится целью кибератак, которые со временем становятся всё более сложными:

«Чтобы противостоять им, нужны инновационные решения, способные отражать не только известные, но и новые угрозы. РЖД — наш давний партнёр, и мы уверены, что сотрудничество поможет компании укрепить систему защиты».

Евгений Чаркин добавил, что РЖД ежегодно отражает более 4 млн атак:

«Мы постоянно проверяем свою ИТ-инфраструктуру на прочность. Создать надёжную защиту можно только совместно с партнёрами, глубоко работающими в этой сфере».

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru