Cyberthreat.id – Peneliti keamanan dari Trend Micro mengungkapkan bahwa operasi Cuba ransomware telah kembali dengan malware yang telah diperbaharui.

Dikutip dari Bleeping Computer, peneliti keamanan Trend Micro melihat Cuba ransomware kembali beroperasi sejak Maret dan semakin intensif hingga April 2022.

Seperti diketahui, aktivitas Cuba ransomware mencapai puncaknya pada tahun 2021 ketika bermitra dengan geng malware Hancitor untuk akses awal. Pada akhir tahun, itu telah melanggar 49 organisasi infrastruktur penting di Amerika Serikat.

Tahun ini kemampuan mereka memang terlihat kurang mengesankan untuk geng ransomware, dengan sedikit korban baru. Namun, peneliti melihat tanda-tanda perubahan taktis dan eksperimen yang menunjukkan kelompok itu masih aktif.

Menurut peneliti Trend Micro, Cuba telah mendaftarkan tiga korban pada bulan April dan satu pada bulan Mei di situs Tor-nya. Namun, serangan yang mengakibatkan publikasi file-file ini kemungkinan terjadi lebih awal.

“Meskipun ini bukan angka yang mengesankan dibandingkan dengan operasi ransomware lainnya, Cuba umumnya lebih selektif, hanya mengenai organisasi besar, kata peneliti Trend Micro.

Pada akhir April, sampel biner terbaru ditemukan oleh Trend Micro telah menyertakan tambahan dan perubahan kecil yang membuat malware lebih berbahaya bagi entitas yang ditargetkan. Ini menunjukkan bahwa operasi itu masih hidup dan secara aktif mengembangkan enkripsinya.

Meskipun pembaruan untuk Cuba ransomware tidak banyak berubah dalam hal fungsionalitas secara keseluruhan, peneliti memiliki alasan untuk percaya bahwa pembaruan bertujuan untuk mengoptimalkan pelaksanaannya. Selain itu, pembaruan ini juga untuk meminimalkan perilaku sistem yang tidak diinginkan, dan memberikan dukungan teknis kepada korban ransomware jika mereka memilih untuk bernegosiasi.

“Malware sekarang menghentikan lebih banyak proses sebelum enkripsi, termasuk Outlook, MS Exchange, dan MySQL, nkripsi Ransomware menghentikan layanan untuk mencegah aplikasi tersebut mengunci file dan mencegahnya dienkripsi, kata peneliti.

Peneliti juga melihat daftar pengecualian telah diperluas dengan lebih banyak direktori dan tipe file yang akan dilewati selama enkripsi. Ini membantu menjaga sistem kerja setelah serangan dan mencegah loop eksekusi yang dapat mengakibatkan file rusak yang tidak dapat dipulihkan, meninggalkan korban tanpa insentif untuk membayar decrypter.

Tidak hanya itu saja, peneliti meyakini kelompok dibalik Cuba telah memperbarui catatan tebusan, menambahkan quTox untuk dukungan korban langsung dan menyatakan bahwa pelaku ancaman akan mempublikasikan semua data yang dicuri di situs Tor jika tuntutan tidak dipenuhi dalam waktu tiga hari.

Peneliti menambahkan, penyempurnaan varian ransomware Kuba hanya dapat berarti bahwa grup tersebut akan terus menjadi ancaman bagi organisasi di bulan-bulan berikutnya, terutama yang berlokasi di Amerika Utara. Mereka pun menyarankan agar organisasi melakukan pencadangan data secara teratur, menerapkan segmentasi jaringan, dan memperbarui semua sistem akan menjadi pendekatan terbaik untuk menghadapi ancaman tersebut.