Ilustrasi : Kaspersky telah meluncurkan penelitian terhadap aktivitas kelompok ransomware terkenal sebagai Cuba.
Jakarta, Jurnas.com - Kaspersky telah meluncurkan penelitian terhadap aktivitas kelompok ransomware terkenal sebagai Cuba. Kelompok penjahat siber tersebut baru-baru ini menyebarkan malware yang dapat menghindari deteksi tingkat lanjut.
Mereka menargetkan organisasi di seluruh dunia, sehingga meninggalkan jejak di sejumlah perusahaan yang telah disusupi di berbagai industri.
Pada bulan Desember 2022, Kaspersky mendeteksi insiden mencurigakan pada sistem klien, mengungkap tiga file yang meragukan. File-file ini memicu serangkaian tindakan yang mengarah pada pemuatan komar65 library, juga dikenal sebagai BUGHATCH.
Waspada Kode QR Yang Disalahgunakan
BUGHATCH adalah backdoor canggih yang diterapkan dalam memori proses. Ia mengeksekusi blok kode shell yang tertanam dalam ruang memori yang dialokasikan padanya menggunakan Windows API, yang mencakup berbagai fungsi.
Selanjutnya, terhubung ke server Command and Control (C2), menunggu instruksi lebih lanjut. Itu dapat menerima perintah untuk mengunduh perangkat lunak seperti Cobalt Strike Beacon dan Metasploit. Penggunaan Veeamp dalam serangan tersebut menunjukkan keterlibatan Cuba.
Khususnya, file PDB merujuk pada folder "komar", adalah kata dalam bahasa Rusia untuk "nyamuk", menunjukkan potensi kehadiran anggota berbahasa Rusia dalam grup tersebut.
Analisis lebih lanjut oleh Kaspersky mengungkap modul tambahan yang didistribusikan oleh grup Cuba, sehingga meningkatkan fungsionalitas malware tersebut. Salah satu modul tersebut bertanggung jawab untuk mengumpulkan informasi sistem, yang kemudian dikirim ke server melalui permintaan HTTP POST.
Melanjutkan penyelidikannya, Kaspersky menemukan sampel malware baru yang dikaitkan dengan kelompok Cuba di VirusTotal. Beberapa dari sampel ini berhasil menghindari deteksi oleh vendor keamanan lainnya. Sampel ini mewakili versi baru dari malware BURNTCIGAR, yang menggunakan data terenkripsi untuk menghindari deteksi antivirus.
“Temuan terbaru kami menggarisbawahi pentingnya akses terhadap laporan terbaru dan intelijen ancaman. Ketika geng ransomware seperti Cuba berevolusi dan menyempurnakan taktik mereka," ujar Gleb Ivanov, pakar keamanan siber di Kaspersky.
Katanya lagi, tetap menjadi terdepan sangatlah penting untuk secara efektif memitigasi potensi serangan. "Dengan lanskap ancaman siber yang terus berubah, wawasan dan pengetahuan adalah pertahanan utama melawan munculnya penjahat siber,” katanya.
Cuba adalah jenis ransomware file tunggal, yang sulit dideteksi karena pengoperasiannya tanpa perpustakaan tambahan. Grup berbahasa Rusia ini dikenal karena jangkauannya yang luas dan menargetkan industri.
Ciri khas dari operasi mereka adalah mengubah stempel waktu kompilasi untuk menyesatkan penyelidik. Misalnya, beberapa sampel yang ditemukan pada tahun 2020 memiliki tanggal kompilasi 4 Juni 2020, sedangkan stempel waktu pada versi yang lebih baru ditampilkan berasal dari 19 Juni 1992.
Pendekatan unik mereka tidak hanya melibatkan enkripsi data tetapi juga menyesuaikan serangan untuk mengekstrak data informasi sensitif, seperti dokumen keuangan, catatan bank, rekening perusahaan, dan kode sumber.
Perusahaan pengembangan perangkat lunak sangat berisiko. Meski sempat menjadi sorotan selama beberapa waktu, grup ini tetap dinamis dan terus menyempurnakan tekniknya.
KEYWORD :
Ransomware Cuba Malware Kaspersky
