La compañía de ciberseguridad Kaspersky ha llevado a cabo una investigación sobre las actividades del grupo de actores maliciosos conocido como Cuba, que ha evolucionado y perfeccionado sus tácticas para desplegar un nuevo 'ransomware' -que encripta los equipos que infecta y solicita un pago para desbloquearlos-.
En concreto, se trata de una amenaza «muy difícil» de detectar y que se dirige a actores diversos, como pueden ser empresas de comercio minorista, compañías de finanzas, logística o administraciones públicas. Además, se ha desplegado a nivel global en países de América, Oceanía, Asia y Europa. De hecho, según el análisis de los investigadores, España se encuentra entre los países más afectados de Europa.
Este 'ransomware' extrae datos confidenciales de sus víctimas, como documentos financieros, registros bancarios, cuentas de empresas y código fuente.
Tal y como han explicado los investigadores en un comunicado, esta nueva amenaza se identificó en diciembre de 2022, cuando un cliente de la compañía Kaspersky recibió tres archivos «extraños» que desencadenaron una serie de acciones hasta cargar la biblioteca komar65, conocida como BUGHATCH.
Esta biblioteca funciona como una puerta trasera «muy sofisticada» que ejecuta código malicioso utilizando la interfaz de programación de aplicaciones (API) de Windows. Así, BUGHATCH consigue conectarse a un servidor de Comando y Control (C2) desde donde recibe las instrucciones de los actores maliciosos.
Una vez está conectado al servidor, los ciberdelincuentes pueden introducir comandos para descargar 'software' como Cobalt Strike Beacon y Metasploit, utilizados para vulnerabilidades de ciberseguridad.
Según Kaspersky, también identificaron la implementación de 'software' Veeam, un elemento común en los ataques del grupo Cuba que evidencian que están detrás de estas amenazas.
Siguiendo esta línea, los trabajos de los investigadores revelaron módulos adicionales utilizados por los actores maliciosos para «mejorar el 'malware'». Tal y como han detallado, uno de estos módulos recopila información del sistema y lo envía a un servidor mediante solicitudes HTTP POST.
Por otra parte, se descubrieron muestras de 'malware' que lograron evadir la seguridad de los sistemas gracias a nuevas versiones del 'malware' BURNTCIGAR. En este caso, se utilizan datos cifrados para evadir la detección de los antivirus.
Kaspersky ha puntualizado que una de las tácticas utilizadas para engañar a los expertos en ciberseguridad ha sido modificar las marcas de tiempo de compilación. Es decir, algunas de las marcas de tiempo encontradas en 2020 tenían una fecha de compilación del 4 de junio de 2023. Sin embargo, las marcas de tiempo de las versiones más recientes tenían como fecha de creación el 19 de junio de 1992.
Medidas de protección contra 'ransomware'
El sector de la ciberseguridad analiza al grupo Cuba para tratar de evitar sus ataques. Sin embargo, estos actores maliciosos combinan herramientas públicas y propias, actualizan periódicamente sus sistemas y evolucionan continuamente sus técnicas, lo que hace que sean difícil de confrontar.
Frente a ello, la compañía Kaspersky ha recomendado a las empresas y organizaciones algunas prácticas para conseguir protección frente al 'ransomware', como mantener siempre el 'software actualizado para evitar ataques que, a través de vulnerabilidades, se infiltran en la red. Otra medida es disponer copias de seguridad 'offline' para poder acceder a los datos «rápidamente».
Asimismo, Kaspersky ha señalado que es importante centrar la defensa en la detección de «movimientos laterales» y filtraciones de datos en Internet. De esta forma, se podrán identificar conexiones a la red por parte de ciberdelincuentes.
Igualmente, la compañía de ciberseguridad ha abogado por el uso de sistemas de protección contra 'ransomware' «en todos los 'endpoints'», así como soluciones EDR --herramientas que proporcionan monitorización y análisis en el 'endpoint' y la red-- y soluciones antiAPT que permiten descubrir e investigar amenazas, incluso repelerlas «antes de que sea demasiado tarde».
Sin comentarios
Para comentar es necesario estar registrado en Ultima Hora
De momento no hay comentarios.