Bisnis.com, JAKARTA - Kaspersky melaporkan bahwa kelompok penjahat Cuba telah menyebarkan malware yang dapat menghindari deteksi tingkat lanjut dan menargetkan seluruh organisasi di dunia.
Cuba adalah jenis ransomware file tunggal, yang sulit dideteksi karena pengoperasiannya tanpa perpustakaan tambahan. Grup berbahasa Rusia ini dikenal karena jangkauannya yang luas dan menargetkan industri seperti ritel, keuangan, logistik, pemerintahan, dan manufaktur di Amerika Utara, Eropa, Oseania, dan Asia.
Pada Desember 2022, Kaspersky mendeteksi insiden mencurigakan pada sistem klien, mengungkap tiga file yang meragukan. File-file ini memicu serangkaian tindakan yang mengarah pada pemuatan komar65 library, juga dikenal sebagai BUGHATCH.
BUGHATCH adalah backdoor canggih yang diterapkan dalam memori proses.
BUGHATCH mengeksekusi blokkode shell yang tertanam dalam ruang memori yang dialokasikan padanya menggunakan Windows API, yang mencakup berbagai fungsi. Selanjutnya, terhubung ke server Command and Control (C2), menunggu instruksi lebih lanjut.
Backdoor tersebut dapat menerima perintah untuk mengunduh perangkat lunak seperti Cobalt Strike Beacon dan Metasploit. Penggunaan Veeamp dalam serangan tersebut menunjukkan keterlibatan Cuba.
Khususnya, file PDB merujuk pada folder yang menggunakan bahasa Rusia, menunjukkan potensi kehadiran anggota berbahasa Rusia dalam grup tersebut.
Salah satu modul tersebut turut bertanggung jawab untuk mengumpulkan informasi sistem, yang kemudian dikirim ke server melalui permintaan HTTP POST.
Melanjutkan penyelidikannya, Kaspersky menemukan sampel malware baru yang dikaitkan dengan kelompok Cuba di VirusTotal. Beberapa dari sampel ini berhasil menghindari deteksi oleh vendor keamanan lainnya.
Sampel ini juga mewakili versi baru dari malware BURNTCIGAR, yang menggunakan data terenkripsi untuk menghindari deteksi antivirus.
“Temuan terbaru kami menggarisbawahi pentingnya akses terhadap laporan terbaru dan intelijen ancaman. Ketika geng ransomware seperti Cuba berevolusi dan menyempurnakan taktik mereka, tetap menjadi terdepan sangatlah penting untuk secara efektif memitigasi potensi serangan,” kata Pakar Keamanan Siber Kaspersky Gleb Ivanov, dikutip Rabu (13/9/2023).
Cuba menggunakan gabungan alat milik publik dan milik sendiri, memperbarui perangkat mereka secara teratur dan menggunakan taktik seperti BYOVD (Bring Your Own Vulnerable Driver).
Ciri khas dari operasi Cuba adalah mengubah stempel waktu kompilasi untuk menyesatkan penyelidik. Misalnya, beberapa sampel yang ditemukan pada tahun 2020 memiliki tanggal kompilasi 4 Juni 2020, sedangkan stempel waktu pada versi yang lebih baru ditampilkan berasal dari 19 Juni 1992.
Pendekatan unik mereka tidak hanya melibatkan enkripsi data tetapi juga menyesuaikan serangan untuk mengekstrak data informasi sensitif, seperti dokumen keuangan, catatan bank, rekening perusahaan, dan kode sumber. Perusahaan pengembangan perangkat lunak sangat berisiko.
Meski sempat menjadi sorotan selama beberapa waktu, grup ini tetap dinamis dan terus menyempurnakan tekniknya. (Afaani Fajrianti)
Cek Berita dan Artikel yang lain di Google News dan WA Channel
