Blog de McAfee Defender: Cuba Ransomware Campaign


Descripción general de Cuba Ransomware

Durante el año pasado, hemos visto a los atacantes de ransomware cambiar la forma en que han respondido a las organizaciones que han optado por no pagar el rescate o han recuperado sus datos por otros medios. Al final del día, la lucha contra el ransomware ha provocado la pérdida de ingresos de los malos actores. Siendo el grupo creativo que son, han recurrido a la difusión de datos si no se paga el rescate. Esto significa que aún podría existir una exposición significativa para su organización, incluso si pudiera recuperarse del ataque.

El ransomware Cuba, que no es un recién llegado al juego, ha introducido recientemente este comportamiento.

Este blog se centra en cómo construir una arquitectura de seguridad adaptable para aumentar su resistencia contra este tipo de ataques y, específicamente, cómo la cartera de McAfee ofrece la capacidad de prevenir, detectar y responder contra las tácticas y técnicas utilizadas en la Campaña Cuba Ransomware.

Recopilación de inteligencia sobre el ransomware de Cuba

Como siempre, la construcción de una arquitectura defensiva adaptable comienza con inteligencia. En la mayoría de las organizaciones, el equipo de operaciones de seguridad es responsable del análisis de inteligencia de amenazas, así como de la respuesta a incidentes y amenazas. McAfee Insights (https://www.mcafee.com/enterprise/en-us/lp/insights-dashboard1.html#) es una gran herramienta para el analista de inteligencia de amenazas y el respondedor de amenazas. El Panel de información identifica la prevalencia y la gravedad de las amenazas emergentes en todo el mundo, lo que permite al Centro de operaciones de seguridad (SOC) priorizar las acciones de respuesta a amenazas y recopilar inteligencia de amenazas cibernéticas (CTI) relevante asociada con la amenaza, en este caso la campaña de ransomware de Cuba. El CTI se proporciona en forma de indicadores técnicos de compromiso (IOC), así como tácticas y técnicas marco MITRE ATT & CK. Como analista de inteligencia de amenazas o respondedor, puede profundizar para recopilar información más específica sobre el ransomware Cuba, como la prevalencia y enlaces a otras fuentes de información. Puede profundizar más para recopilar inteligencia procesable más específica, como indicadores de compromiso y tácticas / técnicas alineadas con el marco MITRE ATT & CK.

En el blog McAfee Advanced Threat Research (ATR), puede ver que el ransomware Cuba aprovecha las tácticas y técnicas comunes a otras campañas de APT. Actualmente, no se conoce el vector de acceso inicial. Muy bien podría tratarse de spear phishing, herramientas del sistema explotadas y binarios firmados, o una multitud de otros métodos populares.

Descripción general de la arquitectura defensiva

La empresa digital actual es un entorno híbrido de sistemas locales y servicios en la nube con múltiples puntos de entrada para ataques como el ransomware Cuba. El modelo operativo de trabajo desde el hogar forzado por COVID-19 solo ha ampliado la superficie de ataque y ha aumentado el riesgo de ataques de spear phishing exitosos si las organizaciones no adaptaron su postura de seguridad y aumentaron la capacitación para los trabajadores remotos. Mitigar el riesgo de ataques como el ransomware Cuba requiere una arquitectura de seguridad con los controles adecuados en el dispositivo, en la red y en las operaciones de seguridad (SecOps). El Centro de Seguridad de Internet (CIS) Los 20 principales controles de seguridad cibernética proporciona una buena guía para construir esa arquitectura. Como se indicó anteriormente, el vector de entrada exacto utilizado por el ransomware Cuba se desconoce actualmente, por lo que lo que sigue, aquí, son recomendaciones más generalizadas para proteger su empresa.

Resumen defensivo de la etapa de acceso inicial

Según Threat Intelligence and Research, el acceso inicial para el ransomware Cuba no se conoce actualmente. Como los atacantes pueden aprovechar muchas técnicas populares para el acceso inicial, es mejor validar la eficacia en todas las capas de defensas. Esto incluye procedimientos de capacitación y respuesta para la concienciación del usuario, defensas de malware basadas en inteligencia y comportamiento en sistemas de correo electrónico, proxy web y sistemas de puntos finales y, finalmente, manuales de estrategias de SecOps para la detección temprana y la respuesta contra archivos adjuntos de correo electrónico sospechosos u otras técnicas de phishing. El siguiente cuadro resume los controles que se espera que tengan el mayor efecto contra las técnicas de la etapa inicial y las soluciones de McAfee para implementar esos controles cuando corresponda.

Táctica MITRE Técnicas MITRE Controles CSC Capacidad de McAfee
Acceso inicial Archivos adjuntos de Spear Phishing (T1566.001) CSC 7 – Protección de correo electrónico y navegador web

CSC 8 – Defensas de malware

CSC 17 – Conciencia del usuario

Endpoint Security Platform 10.7, prevención de amenazas, protección adaptable frente a amenazas,

Web Gateway (MWG), Advanced Threat Defense, Web Gateway Cloud Service (WGCS)

Acceso inicial Enlace de Spear Phishing (T1566.002) CSC 7 – Protección de correo electrónico y navegador web

CSC 8 – Defensas de malware

CSC 17 – Conciencia del usuario

Endpoint Security Platform 10.7, prevención de amenazas, protección adaptable frente a amenazas,

Web Gateway (MWG), Advanced Threat Defense, Web Gateway Cloud Service (WGCS)

Acceso inicial Servicio de Spear Phishing (T1566.003) CSC 7 – Protección de correo electrónico y navegador web

CSC 8 – Defensas de malware

CSC 17 – Conciencia del usuario

Endpoint Security Platform 10.7, prevención de amenazas, protección adaptable frente a amenazas,

Web Gateway (MWG), Advanced Threat Defense, Web Gateway Cloud Service (WGCS)

Para obtener información adicional sobre cómo McAfee puede protegerse contra archivos adjuntos de correo electrónico sospechosos, consulte esta publicación de blog adicional: https://www.mcafee.com/blogs/other-blogs/mcafee-labs/mcafee-protects-against-suspicious-email-attachments /

Resumen defensivo de la etapa de explotación

La etapa de explotación es donde el atacante obtiene acceso al sistema objetivo. La protección contra el ransomware Cuba en esta etapa depende en gran medida del anti-malware adaptable tanto en los dispositivos de los usuarios finales como en los servidores, la restricción de la ejecución de aplicaciones y las herramientas de operaciones de seguridad como la detección de puntos finales y los sensores de respuesta.

McAfee Endpoint Security 10.7 proporciona una capacidad de defensa en profundidad, incluidas firmas e inteligencia de amenazas, para cubrir indicadores o programas defectuosos conocidos, así como protección basada en el comportamiento y el aprendizaje automático para reducir la superficie de ataque contra el ransomware Cuba y detectar nuevas técnicas de ataque de explotación. . Si el vector de entrada inicial es un documento de Word armado con vínculos a archivos de plantilla externos en un servidor remoto, por ejemplo, los módulos McAfee Threat Prevention y Adaptive Threat Protection protegen contra estas técnicas.

El siguiente cuadro resume los controles de seguridad críticos que se espera que tengan el mayor efecto contra las técnicas de la etapa de explotación y las soluciones de McAfee para implementar esos controles donde corresponda.

Táctica MITRE Técnicas MITRE Controles CSC Mitigación de la cartera de McAfee
Ejecución Ejecución del usuario (T1204) CSC 5 Configuración segura

CSC 8 Defensas contra malware

CSC 17 Conciencia de seguridad

Endpoint Security Platform 10.7, prevención de amenazas, protección adaptable contra amenazas, control de aplicaciones (MAC), puerta de enlace web y plataforma de seguridad de red
Ejecución Intérprete de comandos y secuencias de comandos (T1059)

CSC 5 Configuración segura

CSC 8 Defensas contra malware

Endpoint Security Platform 10.7, prevención de amenazas, protección adaptable contra amenazas, control de aplicaciones (MAC), MVISION EDR
Ejecución Módulos compartidos (T1129) CSC 5 Configuración segura

CSC 8 Defensas contra malware

Endpoint Security Platform 10.7, prevención de amenazas, protección adaptable contra amenazas, control de aplicaciones (MAC)
Persistencia Ejecución de inicio o inicio de sesión automático (T1547) CSC 5 Configuración segura

CSC 8 Defensas contra malware

Plataforma de seguridad de endpoint 10.7 Prevención de amenazas, MVISION EDR
Evasión defensiva Inyección de plantilla (T1221) CSC 5 Configuración segura

CSC 8 Defensas contra malware

Endpoint Security Platform 10.7, prevención de amenazas, protección adaptable frente a amenazas, MVISION EDR
Evasión defensiva Ejecución de proxy binario firmado (T1218) CSC 4 Controlar los privilegios de administrador

CSC 5 Configuración segura

CSC 8 Defensas contra malware

Endpoint Security Platform 10.7, prevención de amenazas, protección adaptable frente a amenazas, control de aplicaciones, MVISION EDR
Evasión defensiva Desofuscar / decodificar archivos o información (T1027)

CSC 5 Configuración segura

CSC 8 Defensas contra malware

Endpoint Security Platform 10.7, prevención de amenazas, protección adaptable frente a amenazas, MVISION EDR

Para obtener más información sobre cómo McAfee Endpoint Security 10.7 puede prevenir algunas de las técnicas utilizadas en la etapa de explotación de ransomware en Cuba, revise esta publicación de blog adicional: https://www.mcafee.com/blogs/other-blogs/mcafee-labs/mcafee -amsi-integration-protege-contra-scripts-maliciosos /

Descripción general defensiva de la etapa de impacto

La etapa de impacto es donde el atacante encripta el sistema objetivo, los datos y quizás se mueve lateralmente a otros sistemas en la red. La protección en esta etapa depende en gran medida del anti-malware adaptable tanto en los dispositivos del usuario final como en los servidores, los controles de red y la capacidad de la operación de seguridad para monitorear los registros en busca de anomalías en el acceso privilegiado o el tráfico de la red. El siguiente cuadro resume los controles que se espera que tengan el mayor efecto contra las técnicas de la etapa de impacto y las soluciones de McAfee para implementar esos controles cuando corresponda:

El sitio público de filtración del ransomware Cuba se puede encontrar a través de TOR: http: // cuba4mp6ximo2zlo (.) Onion /

Táctica MITRE Técnicas MITRE Controles CSC Mitigación de la cartera de McAfee
Descubrimiento Descubrimiento de cuenta (T1087) CSC 4 Controlar el uso de privilegios de administrador

CSC 5 Configuración segura

CSC 6 Análisis de registros

MVISION EDR, MVISION Cloud, Protección de cargas de trabajo en la nube
Descubrimiento Descubrimiento de información del sistema (T1082) CSC 4 Controlar el uso de privilegios de administrador

CSC 5 Configuración segura

CSC 6 Análisis de registros

MVISION EDR, MVISION Cloud, Protección de cargas de trabajo en la nube
Descubrimiento Detección de propietario / usuario del sistema (T1033) CSC 4 Controlar el uso de privilegios de administrador

CSC 5 Configuración segura

CSC 6 Análisis de registros

MVISION EDR, MVISION Cloud, Protección de cargas de trabajo en la nube
Comando y control Canal cifrado (T1573) CSC 8 Defensas contra malware

CSC 12 Defensas de límites

Puerta de enlace web, plataforma de seguridad de red

Buscando indicadores de ransomware en Cuba

Como analista o cazador de inteligencia de amenazas, es posible que desee escanear rápidamente sus sistemas en busca de cualquier indicador que haya recibido sobre el ransomware Cuba. Por supuesto, puede hacerlo manualmente descargando una lista de indicadores y buscando con las herramientas disponibles. Sin embargo, si tiene MVISION EDR e Insights, puede hacerlo directamente desde la consola, ahorrando un tiempo precioso. Cazar al atacante puede ser un juego de centímetros, por lo que cada segundo cuenta. Por supuesto, si encontró sistemas infectados o sistemas con indicadores, puede tomar medidas para contener e iniciar una investigación de respuesta a incidentes de inmediato desde la consola de MVISION EDR.

Además de estos COI, las reglas de YARA están disponibles en nuestro análisis técnico del ransomware Cuba.

COI:

Archivos:

151 murciélago

151.ps1

Kurva.ps1

Correos electrónicos:

under_amur @ protonmail (.) ch

helpadmin2 @ gallo (.) li

helpadmin2 @ protonmail (.) com

iracomp2 @ protonmail (.) ch

fedelsupportagent@cock.li

admin@cuba-supp.com

cuba_support@exploit.im

Dominio:

kurvalarva (.) com

Script para movimiento lateral y despliegue:

54627975c0befee0075d6da1a53af9403f047d9e367389e48ae0d25c2a7154bc

c385ef710cbdd8ba7759e084051f5742b6fa8a6b65340a9795f48d0a425fec61

40101fb3629cdb7d53c3af19dea2b6245a8d8aa9f28febd052bb9d792cfbefa6

Cuba ransomware:

c4b1f4e1ac9a28cc9e50195b29dde8bd54527abc7f4d16899f9f8315c852afd4

944ee8789cc929d2efda5790669e5266fe80910cabf1050cbb3e57dc62de2040
78ce13d09d828fc8b06cf55f8247bac07379d0c8b8c8b1a6996c29163fa4b659
33352a38454cfc247bc7465bf177f5f97d7fd0bd220103d4422c8ec45b4d3d0e

672fb249e520f4496e72021f887f8bb86fec5604317d8af3f0800d49aa157be1
e942a8bcb3d4a6f6df6a6522e4d5c58d25cdbe369ecda1356a66dacbd3945d30

907f42a79192a016154f11927fbb1e6f661f679d68947bddc714f5acc4aa66eb
28140885cf794ffef27f5673ca64bd680fc0b8a469453d0310aea439f7e04e64
271ef3c1d022829f0b15f2471d05a28d4786abafd0a9e1e742bde3f6b36872ad
6396ea2ef48aa3d3a61fb2e1ca50ac3711c376ec2b67dbaf64eeba49f5dfa9df

bda4bddcbd140e4012bab453e28a4fba86f16ac8983d7db391043eab627e9fa1

7a17f344d916f7f0272b9480336fb05d33147b8be2e71c3261ea30a32d73fecb

c206593d626e1f8b9c5d15b9b5ec16a298890e8bae61a232c2104cbac8d51bdd

9882c2f5a95d7680626470f6c0d3609c7590eb552065f81ab41ffe074ea74e82

c385ef710cbdd8ba7759e084051f5742b6fa8a6b65340a9795f48d0a425fec61
54627975c0befee0075d6da1a53af9403f047d9e367389e48ae0d25c2a7154bc
1f825ef9ff3e0bb80b7076ef19b837e927efea9db123d3b2b8ec15c8510da647
40101fb3629cdb7d53c3af19dea2b6245a8d8aa9f28febd052bb9d792cfbefa6

00ddbe28a31cc91bd7b1989a9bebd43c4b5565aa0a9ed4e0ca2a5cfb290475ed

729950ce621a4bc6579957eabb3d1668498c805738ee5e83b74d5edaf2f4cb9e

Técnicas MITRE ATT & CK:

Táctica Técnica Observable IOC
Ejecución Intérprete de comandos y secuencias de comandos: PowerShell (T1059.001) El equipo de Cuba está utilizando la carga útil de PowerShell para eliminar el ransomware de Cuba f739977004981fbe4a54bc68be18ea79

68a99624f98b8cd956108fedcc44e07c

bdeb5acc7b569c783f81499f400b2745

Ejecución Servicios del sistema: ejecución de servicios (T1569.002)
Ejecución Módulos compartidos (T1129) Los enlaces de ransomware de Cuba funcionan en tiempo de ejecución Funciones:

"GetModuleHandle"

"GetProcAddress"

"GetModuleHandleEx"

Ejecución Intérprete de comandos y secuencias de comandos (T1059) Cuba ransomware acepta argumentos de línea de comandos Funciones:

"GetCommandLine"

Persistencia Crear o modificar el proceso del sistema: Servicio de Windows (T1543.003) Cuba ransomware puede modificar servicios Funciones:

"OpenService"

"ChangeServiceConfig"

Escalada de privilegios Manipulación de tokens de acceso (T1134) Cuba ransomware puede ajustar los privilegios de acceso Funciones:

"SeDebugPrivilege"

"AdjustTokenPrivileges"

"LookupPrivilegeValue"

Evasión de defensa Modificación de permisos de archivos y directorios (T1222) Cuba ransomware establecerá atributos de archivo Funciones:

"SetFileAttributes"

Evasión de defensa Archivos o información ofuscados (T1027) Cuba ransomware utiliza algoritmo xor para codificar datos
Evasión de defensa Virtualización / Evasión de espacio aislado: comprobaciones del sistema Cuba ransomware ejecuta instrucciones anti-vm
Descubrimiento Descubrimiento de archivos y directorios (T1083) Cuba ransomware enumera archivos Funciones:

"FindFirstFile"

"FindNextFile"

"FindClose"

"FindFirstFileEx"

"FindNextFileEx"

"GetFileSizeEx"

Descubrimiento Descubrimiento de procesos (T1057) Cuba ransomware enumera los módulos de proceso Funciones:

"K32EnumProcesses"

Descubrimiento Descubrimiento de información del sistema (T1082) Cuba ransomware puede obtener la distribución del teclado, enumera discos, etc. Funciones:

"GetKeyboardLayoutList"

"FindFirstVolume"

"FindNextVolume"

"GetVolumePathNamesForVolumeName"

"GetDriveType"

"GetLogicalDriveStrings"

"GetDiskFreeSpaceEx"

Descubrimiento Descubrimiento de servicios del sistema (T1007) Cuba ransomware puede consultar el estado del servicio Funciones:

"QueryServiceStatusEx"

Colección Captura de entrada: registro de teclas (T1056.001) Cuba ransomware registra las pulsaciones de teclas a través de encuestas Funciones:

"GetKeyState"

"VkKeyScan"

Impacto Parada de servicio (T1489) Cuba ransomware puede detener los servicios
Impacto Datos cifrados para Impact (T1486) Cuba ransomware cifra datos

Detección proactiva de técnicas de ransomware en Cuba

Muchas de las técnicas de la etapa de explotación en este ataque pudo utilice procesos y aplicaciones legítimos de Windows para explotar o evitar la detección. Hablamos anteriormente sobre cómo la plataforma de protección de endpoints puede alterar los documentos armados pero, al usar MVISION EDR, puede obtener más visibilidad. Como analistas de seguridad, queremos centrarnos en las técnicas sospechosas utilizadas por Initial Access, ya que se desconoce el Initial Access de este ataque.

Supervisión o informes sobre eventos de ransomware en Cuba

Los eventos de McAfee Endpoint Protection y McAfee MVISION EDR juegan un papel clave en la respuesta a incidentes y amenazas de ransomware en Cuba. McAfee ePO centraliza la recopilación de eventos de todos los sistemas de terminales administrados. Como respondedor de amenazas, es posible que desee crear un panel para los eventos de amenazas relacionados con el ransomware de Cuba para comprender su exposición actual.

Resumen

Para derrotar las campañas de amenazas dirigidas, los defensores deben colaborar interna y externamente para construir una arquitectura de seguridad adaptable que dificultará que los actores de amenazas tengan éxito y desarrollen resiliencia en el negocio. Este blog destaca cómo utilizar las soluciones de seguridad de McAfee para prevenir, detectar y responder al ransomware y atacantes de Cuba que utilizan técnicas similares.

McAfee ATR está monitoreando activamente esta campaña y continuará actualizando McAfee Insights y sus canales de redes sociales con información nueva y actualizada. ¿Quiere adelantarse a los adversarios? Consulte McAfee Insights para obtener más información.





Enlace a la noticia original