FBI und CISA warnen vor Cuba Hackern

In einem kürzlich veröffentlichten Cybersecurity-Alert der CISA und des FBI wird davor gewarnt, dass sowohl die Zahl der von der Ransomware-Gruppe Cuba angegriffenen Organisationen als auch die geforderten Lösegeldsummen stark zugenommen haben. Laut der Warnung zielen die Ransomware-Angriffe auf kritische Infrastrukturen, Finanzdienstleistungen, das Gesundheitswesen, Informationstechnologie, Regierungsdienste und mehr. In der Warnung wird darauf hingewiesen, dass die Cuba Ransomware-Bande trotz ihres Namens keine Verbindung zum Land Kuba hat.

Mit Stand vom August 2022 – dem aktuellsten Datum, für das Informationen zur Verfügung stehen – warnt das FBI, dass die Ransomware-Angreifer über 100 Opfer auf der ganzen Welt kompromittiert und Lösegeldzahlungen in Höhe von über 145 Millionen US-Dollar gefordert haben, wobei 60 Millionen US-Dollar an Erpressungsgeldern eingegangen sind. Die Gruppe führt doppelte Erpressungsangriffe durch, indem sie nicht nur Daten verschlüsselt und ein Lösegeld fordert, sondern auch damit droht, die gestohlenen Daten des Opfers freizugeben, wenn das in Bitcoin geforderte Lösegeld nicht gezahlt wird.

Die gemeinsame Empfehlung von CISA und FBI folgt auf eine frühere Warnung vor Cuba-Ransomware im Dezember 2021. Die neue Warnung wurde herausgegeben, weil die Zahl der Angriffe gestiegen ist und weil die Cyberkriminellen ihre Techniken erweitert haben, um Angriffe schwieriger zu erkennen und damit effektiver zu machen.

Zu diesen Methoden gehören die Ausnutzung einer Schwachstelle im Windows Common Log File System (CLFS)-Treiber (CVE-2022-24521), um System-Token zu stehlen und die Berechtigungen zu erhöhen, sowie die Verwendung eines PowerShell-Skripts zur Identifizierung von Dienstkonten, um mehr Zugriff auf hochrangige Systemsteuerungen zu erhalten.

Cuba-Ransomware-Angriffe wurden auch unter Ausnutzung von Zerologon, einer Schwachstelle im Microsoft Windows-Authentifizierungsprotokoll Netlogon (CVE-2020-1472), beobachtet, um Domänenverwaltungsrechte zu erlangen. Zerologon wurde im September 2020 entdeckt und damals als „inakzeptables Risiko“ bezeichnet – aber auch über zwei Jahre später sind Angreifer immer noch in der Lage, diese Schwachstelle auszunutzen.

Wie in der vorangegangenen Warnung beschrieben, nutzt Cuba Ransomware unter anderem bekannte Schwachstellen in kommerzieller Software, Phishing-Kampagnen, den Missbrauch gestohlener Benutzernamen und Passwörter und die Ausnutzung legitimer RDP-Anwendungen (Remote Desktop Protocol), um sich Zugang zu den Opfern zu verschaffen.

Nachdem sie sich Zugang verschafft haben, setzen die Cyberkriminellen Hancitor ein, eine Malware-Nutzlast, die es ihnen ermöglicht, auf einfache Weise wieder Zugang zu kompromittierten Netzwerken zu erlangen und dort Aktivitäten auszuführen – und die schließlich dazu verwendet wird, die Ransomware-Nutzlast abzulegen und auszuführen.

Das FBI und die CISA geben Netzwerk-Verteidigern mehrere Empfehlungen für Sicherheitsmaßnahmen, die sie ergreifen sollten, um zu verhindern, dass Angreifer mit gängigen Techniken in das Netzwerk eindringen und Ransomware installieren können.

Eine der wichtigsten Empfehlungen ist, alle Betriebssysteme, Software und Firmware mit den neuesten Sicherheitsupdates auf dem neuesten Stand zu halten – insbesondere wenn bekannt ist, dass Cyberkriminelle aktiv auf Schwachstellen wie CVE-2022-24521 und CVE-2020-1472 abzielen.

„Das rechtzeitige Einspielen von Patches ist eine der effizientesten und kostengünstigsten Maßnahmen, die ein Unternehmen ergreifen kann, um seine Gefährdung durch Cybersecurity-Bedrohungen zu minimieren“, heißt es in der Sicherheitsempfehlung.