FBI und CISA warnen vor Cuba Hackern

In einem kürzlich veröffentlichten Cybersecurity-Alert der CISA und des FBI wird davor gewarnt, dass sowohl die Zahl der von der Ransomware-Gruppe Cuba angegriffenen Organisationen als auch die geforderten Lösegeldsummen stark zugenommen haben. Laut der Warnung zielen die Ransomware-Angriffe auf kritische Infrastrukturen, Finanzdienstleistungen, das Gesundheitswesen, Informationstechnologie, Regierungsdienste und mehr. In der Warnung wird darauf hingewiesen, dass die Cuba Ransomware-Bande trotz ihres Namens keine Verbindung zum Land Kuba hat.

Mit Stand vom August 2022 – dem aktuellsten Datum, für das Informationen zur Verfügung stehen – warnt das FBI, dass die Ransomware-Angreifer über 100 Opfer auf der ganzen Welt kompromittiert und Lösegeldzahlungen in Höhe von über 145 Millionen US-Dollar gefordert haben, wobei 60 Millionen US-Dollar an Erpressungsgeldern eingegangen sind. Die Gruppe führt doppelte Erpressungsangriffe durch, indem sie nicht nur Daten verschlüsselt und ein Lösegeld fordert, sondern auch damit droht, die gestohlenen Daten des Opfers freizugeben, wenn das in Bitcoin geforderte Lösegeld nicht gezahlt wird.

Die gemeinsame Empfehlung von CISA und FBI folgt auf eine frühere Warnung vor Cuba-Ransomware im Dezember 2021. Die neue Warnung wurde herausgegeben, weil die Zahl der Angriffe gestiegen ist und weil die Cyberkriminellen ihre Techniken erweitert haben, um Angriffe schwieriger zu erkennen und damit effektiver zu machen.

Zu diesen Methoden gehören die Ausnutzung einer Schwachstelle im Windows Common Log File System (CLFS)-Treiber (CVE-2022-24521), um System-Token zu stehlen und die Berechtigungen zu erhöhen, sowie die Verwendung eines PowerShell-Skripts zur Identifizierung von Dienstkonten, um mehr Zugriff auf hochrangige Systemsteuerungen zu erhalten.

Cuba-Ransomware-Angriffe wurden auch unter Ausnutzung von Zerologon, einer Schwachstelle im Microsoft Windows-Authentifizierungsprotokoll Netlogon (CVE-2020-1472), beobachtet, um Domänenverwaltungsrechte zu erlangen. Zerologon wurde im September 2020 entdeckt und damals als „inakzeptables Risiko“ bezeichnet – aber auch über zwei Jahre später sind Angreifer immer noch in der Lage, diese Schwachstelle auszunutzen.

Wie in der vorangegangenen Warnung beschrieben, nutzt Cuba Ransomware unter anderem bekannte Schwachstellen in kommerzieller Software, Phishing-Kampagnen, den Missbrauch gestohlener Benutzernamen und Passwörter und die Ausnutzung legitimer RDP-Anwendungen (Remote Desktop Protocol), um sich Zugang zu den Opfern zu verschaffen.

Nachdem sie sich Zugang verschafft haben, setzen die Cyberkriminellen Hancitor ein, eine Malware-Nutzlast, die es ihnen ermöglicht, auf einfache Weise wieder Zugang zu kompromittierten Netzwerken zu erlangen und dort Aktivitäten auszuführen – und die schließlich dazu verwendet wird, die Ransomware-Nutzlast abzulegen und auszuführen.

Das FBI und die CISA geben Netzwerk-Verteidigern mehrere Empfehlungen für Sicherheitsmaßnahmen, die sie ergreifen sollten, um zu verhindern, dass Angreifer mit gängigen Techniken in das Netzwerk eindringen und Ransomware installieren können.

Eine der wichtigsten Empfehlungen ist, alle Betriebssysteme, Software und Firmware mit den neuesten Sicherheitsupdates auf dem neuesten Stand zu halten – insbesondere wenn bekannt ist, dass Cyberkriminelle aktiv auf Schwachstellen wie CVE-2022-24521 und CVE-2020-1472 abzielen.

„Das rechtzeitige Einspielen von Patches ist eine der effizientesten und kostengünstigsten Maßnahmen, die ein Unternehmen ergreifen kann, um seine Gefährdung durch Cybersecurity-Bedrohungen zu minimieren“, heißt es in der Sicherheitsempfehlung.

ZDNet.de Redaktion

Recent Posts

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

7 Stunden ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

11 Stunden ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

12 Stunden ago

Lags beim Online-Gaming? DSL-Vergleich und andere Tipps schaffen Abhilfe

Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…

12 Stunden ago

GenKI-Fortbildung immer noch Mangelware

Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…

12 Stunden ago

Netzwerk-Portfolio für das KI-Zeitalter

Huawei stellt auf der Connect Europe 2024 in Paris mit Xinghe Intelligent Network eine erweiterte…

14 Stunden ago