Kaspersky menemukan versi baru malware BURNTCIGAR yang disebarkan kelompok ransomware Cuba. Kelompok ini diketahui mengincar organisasi dan perusahaan dari berbagai sektor industri di seluruh dunia.
Versi baru malware ini ditemukan Kaspersky di website VirusTotal dan beberapa sampelnya mampu menghindari deteksi oleh vendor keamanan lainnya. Dari penelitian Kaspersky juga terungkap bahwa malware ini menggunakan data terenkripsi untuk menghindari deteksi tingkat lanjut.
Selain malware BURNTCIGAR, kelompok Cuba juga menggunakan backdoor BUGHATCH untuk melancarakan serangan siber. Backdoor ini memanfaatkan Windows API untuk mengeksekusi blok shellcode dalam ruang memori yang dialokasikan untuk kode tersebut. Kemudian BUGHATCH akan terkoneksi dengan server Comand and Control (C2) dan dapat menerima perintah mengunduh software, seperti Cobalt Strike Beacon dan Metasploit.
Dalam siaran persnya, Kaspersky menjelaskan bahwa Cuba adalah jenis ransomware dengan file tunggal. Jenis ransomware ini sulit dideteksi karena beroperasi tanpa library tambahan. Kelompok ini mengincar berbagai industri, seperti retail, keuangan, logistik, pemerintahan, dan manufaktur. Dan sampai saat ini, kelompok Cuba telah menyerang organisasi dan perusahaan di kawasan Amerika Utara, Eropa, Oseania, dan Asia.
Dalam serangannya, kelompok ransomware ini menggunakan tool publik maupun propietary. Mereka juga memperbarui perangkatnya secara teratur dan menggunakan taktik seperti BYOVD (Bring Your Own Vulnerable Driver).
Meski menggunakan nama Cuba, kelompok ini tidak berafiliasi dengan Republik Kuba. Dalam siaran persnya, Kaspersky menyebutkan adanya indikasi keterlibatan anggota yang berbahasa Rusia di kelompok ransomware Cuba. Salah satu indikasi itu ditemukannya folder “komar” di file PDB. Sebagai informasi “komar” merupakan kata dalam bahasa Rusia yang berarti “nyamuk.”
Ciri khas dari operasi kelompok ini adalah mengubah stempel waktu (timestamp) kompilasi untuk menyesatkan penyelidik. Misalnya, beberapa sampel yang ditemukan pada tahun 2020 memiliki tanggal kompilasi 4 Juni 2020, sedangkan stempel waktu pada versi yang lebih baru ditampilkan berasal dari 19 Juni 1992.
Selain mengubah timestamp, kelompok Cuba juga menyesuaikan serangan untuk mengekstraksi data sensitif, seperti dokumen keuangan, catatan bank, rekening perusahaan, dan kode sumber. Kaspersky menyatakan bahwa kelompok ini tetap dinamis dan terus menyempurnakan tekniknya.
“Temuan terbaru kami ini menggarisbawahi pentingnya (memiliki) akses terhadap laporan terbaru dan intelijen ancaman. Ketika geng ransomware seperti Cuba berevolusi dan menyempurnakan taktik mereka, tetap menjadi terdepan sangatlah penting untuk secara efektif memitigasi potensi serangan. Dengan lanskap ancaman siber yang terus berubah, wawasan dan pengetahuan adalah pertahanan utama melawan penjahat siber yang bermunculan,” ujar Gleb Ivanov, pakar keamanan siber di Kaspersky.
Kaspersky merekomendasikan kiat-kiat berikut untuk melindungi organisasi dan perusahaan dari serangan ransomware seperti Cuba.
- Selalu perbarui software di semua perangkat yang Anda gunakan.
- Bangun strategi pertahanan yang fokus pada pergerakan lateral dan penyelundupan data ke internet.
- Siapkan cadangan offline yang dapat Anda akses dengan cepat saat dibutuhkan atau dalam keadaan darurat.
- Aktifkan perlindungan ransomware pada semua endpoint.
- Pasang solusi anti-APT dan EDR
- Gunakan dan berikan tim SOC Anda akses ke intelijen ancaman (TI) terbaru agar Anda selalu terinformasikan mengenai ancaman-ancaman terkini. Contohnya adalah Portal Intelijen Ancaman Kaspersky.
Baca juga: Kaspersky: Teknologi AI Melengkapi Tim keamanan TI di Asia Pasifik
Baca juga: Ancaman Siber Kian Canggih, Kaspersky Tawarkan Cyber Immunity