FBI und CISA warnen vor Cuba Hackern

In einem kürzlich veröffentlichten Cybersecurity-Alert der CISA und des FBI wird davor gewarnt, dass sowohl die Zahl der von der Ransomware-Gruppe Cuba angegriffenen Organisationen als auch die geforderten Lösegeldsummen stark zugenommen haben. Laut der Warnung zielen die Ransomware-Angriffe auf kritische Infrastrukturen, Finanzdienstleistungen, das Gesundheitswesen, Informationstechnologie, Regierungsdienste und mehr. In der Warnung wird darauf hingewiesen, dass die Cuba Ransomware-Bande trotz ihres Namens keine Verbindung zum Land Kuba hat.

Mit Stand vom August 2022 – dem aktuellsten Datum, für das Informationen zur Verfügung stehen – warnt das FBI, dass die Ransomware-Angreifer über 100 Opfer auf der ganzen Welt kompromittiert und Lösegeldzahlungen in Höhe von über 145 Millionen US-Dollar gefordert haben, wobei 60 Millionen US-Dollar an Erpressungsgeldern eingegangen sind. Die Gruppe führt doppelte Erpressungsangriffe durch, indem sie nicht nur Daten verschlüsselt und ein Lösegeld fordert, sondern auch damit droht, die gestohlenen Daten des Opfers freizugeben, wenn das in Bitcoin geforderte Lösegeld nicht gezahlt wird.

Die gemeinsame Empfehlung von CISA und FBI folgt auf eine frühere Warnung vor Cuba-Ransomware im Dezember 2021. Die neue Warnung wurde herausgegeben, weil die Zahl der Angriffe gestiegen ist und weil die Cyberkriminellen ihre Techniken erweitert haben, um Angriffe schwieriger zu erkennen und damit effektiver zu machen.

Zu diesen Methoden gehören die Ausnutzung einer Schwachstelle im Windows Common Log File System (CLFS)-Treiber (CVE-2022-24521), um System-Token zu stehlen und die Berechtigungen zu erhöhen, sowie die Verwendung eines PowerShell-Skripts zur Identifizierung von Dienstkonten, um mehr Zugriff auf hochrangige Systemsteuerungen zu erhalten.

Cuba-Ransomware-Angriffe wurden auch unter Ausnutzung von Zerologon, einer Schwachstelle im Microsoft Windows-Authentifizierungsprotokoll Netlogon (CVE-2020-1472), beobachtet, um Domänenverwaltungsrechte zu erlangen. Zerologon wurde im September 2020 entdeckt und damals als „inakzeptables Risiko“ bezeichnet – aber auch über zwei Jahre später sind Angreifer immer noch in der Lage, diese Schwachstelle auszunutzen.

Wie in der vorangegangenen Warnung beschrieben, nutzt Cuba Ransomware unter anderem bekannte Schwachstellen in kommerzieller Software, Phishing-Kampagnen, den Missbrauch gestohlener Benutzernamen und Passwörter und die Ausnutzung legitimer RDP-Anwendungen (Remote Desktop Protocol), um sich Zugang zu den Opfern zu verschaffen.

Nachdem sie sich Zugang verschafft haben, setzen die Cyberkriminellen Hancitor ein, eine Malware-Nutzlast, die es ihnen ermöglicht, auf einfache Weise wieder Zugang zu kompromittierten Netzwerken zu erlangen und dort Aktivitäten auszuführen – und die schließlich dazu verwendet wird, die Ransomware-Nutzlast abzulegen und auszuführen.

Das FBI und die CISA geben Netzwerk-Verteidigern mehrere Empfehlungen für Sicherheitsmaßnahmen, die sie ergreifen sollten, um zu verhindern, dass Angreifer mit gängigen Techniken in das Netzwerk eindringen und Ransomware installieren können.

Eine der wichtigsten Empfehlungen ist, alle Betriebssysteme, Software und Firmware mit den neuesten Sicherheitsupdates auf dem neuesten Stand zu halten – insbesondere wenn bekannt ist, dass Cyberkriminelle aktiv auf Schwachstellen wie CVE-2022-24521 und CVE-2020-1472 abzielen.

„Das rechtzeitige Einspielen von Patches ist eine der effizientesten und kostengünstigsten Maßnahmen, die ein Unternehmen ergreifen kann, um seine Gefährdung durch Cybersecurity-Bedrohungen zu minimieren“, heißt es in der Sicherheitsempfehlung.

ZDNet.de Redaktion

Recent Posts

Microsoft nennt weitere Details zu kostenpflichtigen Patches für Windows 10

Erstmals liegen Preise für Verbraucher vor. Sie zahlen weniger als Geschäftskunden. Dafür beschränkt Microsoft den…

3 Stunden ago

Microsoft verschiebt erneut Copilot Recall

Die Entwickler arbeiten noch an weiteren „Verfeinerungen“. Windows Insider erhalten nun wohl eine erste Vorschau…

21 Stunden ago

GenKI im Job: Mitarbeitende schaffen Tatsachen

Laut Bitkom-Umfrage werden in jedem dritten Unternehmen in Deutschland private KI-Zugänge genutzt. Tendenz steigend.

23 Stunden ago

97 Prozent der Großunternehmen melden Cyber-Vorfälle

2023 erlitten neun von zehn Unternehmen in der DACH-Region Umsatzverluste und Kurseinbrüche in Folge von…

23 Stunden ago

„Pacific Rim“-Report: riesiges, gegnerisches Angriffs-Ökosystem

Der Report „Pacific Rim“ von Sophos beschreibt Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit staatlich unterstützten…

1 Tag ago

DeepL setzt erstmals auf NVIDIA DGX SuperPOD mit DGX GB200-Systemen

NVIDIA DGX SuperPOD soll voraussichtlich Mitte 2025 in Betrieb genommen und für Forschungsberechnungen genutzt werden.

1 Tag ago