FBI warnt vor Cuba Ransomware-Gruppe
ID: 1946925
49 Organisationen aus fünf Sektoren der kritischen Infrastruktur wurden laut FBI von der Ransomware-Gruppe Cuba angegriffen. Der Schaden beträgt mindestens 43,9 Millionen US-Dollar.
?
Verbreitet wird die Cuba-Ransomware durch die Hancitor-Malware, um Zugang zu Windows-Systemen zu erhalten. Dieser Loader ist dafür bekannt, Schädlinge wie Remote-Access-Trojaner (RATs) und Ransomware in Netzwerke einzuschleusen. Verbreitet wird sie sowohl über Phishing-E-Mails, Microsoft Exchange-Sicherheitslücken, kompromittierte Anmeldeinformationen oder legitime Remote Desktop Protocol (RDP)-Tools, um ersten Zugriff auf das Netzwerk eines Opfers zu erhalten. Anschließend kommen legitime Windows-Dienste wie PowerShell, PsExec und andere nicht spezifizierte Dienste zum Einsatz, mit denen dann Windows-Administratorrechte ausgenutzt werden können, um die eigentliche Ransomware und andere Prozesse aus der Ferne auszuführen.
?
Sobald ein Opfersystem kompromittiert ist, installiert die Ransomware ein Cobalt Strike-Beacon und führt es aus, während zwei weitere Dateien heruntergeladen werden. Diese beiden Dateien ermöglichen es Angreifern wiederum, Passwörter auszuspähen und eine TMP-Datei im kompromittierten Netzwerk auszuführen, die Aufrufe des Application Programming Interface (API) durchführt. Anschließend löscht sich die TMP-Datei selbst und das Netzwerk beginnt, mit einem Malware-Repository zu kommunizieren, von dem bekannt ist, dass es sich auf einer URL in Montenegro befindet.
?
Zudem verwendet die Cuba-Gruppe die Malware MimiKatz, um Anmeldeinformationen zu stehlen, mit denen sie sich dann beim angegriffenen Netzwerk-Host anmelden können. Dies erfolgt über eine RDP-Verbindung, über die die Kriminellen eine Verbindung zwischen dem Cobalt Strike-Server und dem kompromittierten Netzwerk herstellen. Eine der anfänglichen PowerShell-Skriptfunktionen weist dann Speicherplatz zum Ausführen einer base64-codierten Nutzlast zu. Sobald diese Nutzlast in den Arbeitsspeicher geladen wurde, kann sie verwendet werden, um Kontakt zu einem Command-and-Control-Server (C2) herzustellen, über den dann die nächste Stufe der Dateien für die Ransomware heruntergeladen werden.
?
Neben der Beschreibung der Vorgehensweise fügte das FBI seiner Warnung jeweils ein Muster einer Lösegeldforderung und einer E-Mail hinzu, die die Opfer erhalten. Interessant ist auch, dass die Cuba-Ransomware-Gruppe, obwohl schon seit Jahren aktiv, seit Anfang des Jahres eine Leak-Seite im Internet betreibt. Über diese Seite veröffentlicht die Gruppe erbeutete Daten, sollte das Opfer nicht zahlen. Damit reihen sie sich in eine zunehmende Zahl an Ransomware-Gruppen ein, die sich dadurch einen weiteren Hebel verschaffen, mit dem sie ihre Opfer unter Druck setzen. Laut dem Hersteller von Sicherheitssoftware, McAfee, sind auch einige Fälle bekannt, in denen gestohlene Daten verkauft wurden. Die Gruppe zielt in der Regel auf Unternehmen in den USA, Südamerika und Europa ab.
?
Besonders überraschend an diesem Fall ist die Erfolgsquote der Hacker-Gruppe, denn 43,9 Millionen US-Dollar sind eine extrem hohe Ausbeute für eine vergleichsweise geringe Zahl an Angriffen – auch im Vergleich zu anderen Ransomware-Gruppierungen. Das Sicherheitsunternehmen Emsisoft registrierte beispielsweise nur etwa 105 Angriffe der Cuba-Gruppe in diesem Jahr. Die wesentlich bekanntere Conti-Ransomware-Gruppe kam hingegen auf 653 Angriffe. Daraus lassen sich auch Rückschlüsse auf die Schadenssummen ziehen, die Jahr für Jahr durch Ransomware entstehen. Wenn ein vergleichsweise kleiner Akteur bereits derart hohe Summen erbeuten kann, könnten die Gewinne anderer, größerer Gruppen noch deutlich darüberliegen – auch über den bisher bekannten Lösegeldsummen.
Das 8com Cyber Defense Center schützt die digitalen Infrastrukturen von 8coms Kunden effektiv vor Cyberangriffen. Es beinhaltet ein Security Information and Event Management (SIEM), Vulnerability Management sowie professionelle Penetrationstests. Zudem bietet es den Aufbau und die Integration eines Information Security Management Systems (ISMS) inklusive Zertifizierung nach gängigen Standards. Awareness-Maßnahmen, Security Trainings und ein Incident Response Management runden das Angebot ab.
8com gehört zu den führenden Anbietern von Awareness-Leistungen und Informationssicherheit in Europa. Seit 15 Jahren ist das Ziel von 8com, Kunden die bestmögliche Leistung zu bieten und gemeinsam ein ökonomisch sinnvolles, aber trotzdem möglichst hohes Informationssicherheitsniveau zu erzielen. Durch die einzigartige Kombination aus technischem Know-how und direkten Einblicken in die Arbeitsweisen von Cyberkriminellen können die Cyber-Security-Experten bei ihrer Arbeit auf fundierte Erfahrungswerte zurückgreifen.
Weitere Infos zu dieser Pressemeldung:
Unternehmensinformation / Kurzprofil:
Das 8com Cyber Defense Center schützt die digitalen Infrastrukturen von 8coms Kunden effektiv vor Cyberangriffen. Es beinhaltet ein Security Information and Event Management (SIEM), Vulnerability Management sowie professionelle Penetrationstests. Zudem bietet es den Aufbau und die Integration eines Information Security Management Systems (ISMS) inklusive Zertifizierung nach gängigen Standards. Awareness-Maßnahmen, Security Trainings und ein Incident Response Management runden das Angebot ab.
8com gehört zu den führenden Anbietern von Awareness-Leistungen und Informationssicherheit in Europa. Seit 15 Jahren ist das Ziel von 8com, Kunden die bestmögliche Leistung zu bieten und gemeinsam ein ökonomisch sinnvolles, aber trotzdem möglichst hohes Informationssicherheitsniveau zu erzielen. Durch die einzigartige Kombination aus technischem Know-how und direkten Einblicken in die Arbeitsweisen von Cyberkriminellen können die Cyber-Security-Experten bei ihrer Arbeit auf fundierte Erfahrungswerte zurückgreifen.
Datum: 08.12.2021 - 10:39 Uhr
Sprache: Deutsch
News-ID 1946925
Anzahl Zeichen: 5677
Kontakt-Informationen:
Stadt:
Neustadt an der Weinstraße
Kategorie:
Internet-Portale
Diese Pressemitteilung wurde bisher 262 mal aufgerufen.
Die Pressemitteilung mit dem Titel:
"FBI warnt vor Cuba Ransomware-Gruppe"
steht unter der journalistisch-redaktionellen Verantwortung von
8com GmbH&Co. KG (Nachricht senden)
Beachten Sie bitte die weiteren Informationen zum Haftungsauschluß (gemäß TMG - TeleMedianGesetz) und dem Datenschutz (gemäß der DSGVO).
Wann immer man ein neues Passwort anlegen muss, steht man vor einer schwierigen Entscheidung: Etwas nehmen, das man sich auch merken kann oder ein sicheres Passwort generieren lassen, das man sich wahrscheinlich nicht merken kann. Abhilfe versprechen cloud-basierte Passwortmanager. Sie gelten gemein
Kritische Sicherheitslücke im Microsoft Configuration Manager: CISA warnt vor aktiver Ausnutzung ...
Die US-Cybersicherheitsbehörde CISA hat eine Warnung bezüglich einer kritischen Schwachstelle im Microsoft Configuration Manager (ehemals SCCM) herausgegeben. Diese als CVE-2024-43468 identifizierte Sicherheitslücke ermöglicht es Angreifern, durch das Einschleusen von bösartigen SQL-Befehlen au
Der Preis der Bequemlichkeit: Musikstreaming zwischen Massenmarkt und dem Ruf nach finanzieller Fairness ...
Die Art und Weise, wie die Gesellschaft Musik konsumiert, hat sich in der letzten Dekade radikal gewandelt. Was früher mühsam auf CDs gesammelt oder aus dem Radio aufgenommen wurde, steht heute per Knopfdruck in millionenfacher Ausführung zur Verfügung. Doch während die Nutzer von der grenzenlo
Weitere Mitteilungen von 8com GmbH&Co. KG
ASCEND liefert Internet auf die grüne Wiese ...
Events und Livestreams sind auf unterbrechungsfreies Internet angewiesen – immer und überall. ASCEND macht professionelle Breitband-Verbindungen sogar auf der grünen Wiese möglich, wenn notwendig auch komplett autark, das heißt ohne externe Stromversorgung. „Bis heute schlägt mein Herz für
Beste IT-Dienstleister 2022: Wirtschaftsmagazin brand eins zeichnet CONET mit Höchstwertung aus ...
CONET belegt im diesjährigen Ranking „Beste IT-Dienstleister 2022“ von brand eins und Statista erneut Spitzenplätze in mehreren Leistungskategorien. Für IT-Beratung, IT-Security, Managed Services & Outsourcing, Kommunikation & Kollaboration, Netzwerk & Storage sowie Software-lmple
SAS Viya: Erweiterte Unterstützung für Open-Source-Modelle ...
Heidelberg, 7. Dezember 2021 -- SAS, einer der weltweit führenden Anbieter von Lösungen für Analytics und künstliche Intelligenz (KI), öffnet die SAS Viya (https://www.sas.com/de_de/software/viya.html) Platform noch weiter für die Open-Source-Community. Durch eine nahtlose Integration mit Open
Syntax wird "Premier Partner" im Partnernetzwerk von Amazon Web Services (AWS) ...
Weinheim, 7. Dezember 2021 ---- Syntax, global agierender IT-Dienstleister und einer der führenden Managed Cloud Provider, ist ab sofort "Premier Partner" im AWS-Partnernetzwerk (APN). Dieser Status unterstreicht Syntax überdurchschnittliche Kompetenz in den Bereichen Design, Architektur
