Ερευνητές ασφαλείας εντόπισαν νέες επιθέσεις της ransomware συμμορίας Cuba που στόχευσαν κρίσιμες υποδομές στις Ηνωμένες Πολιτείες και εταιρείες πληροφορικής στη Λατινική Αμερική, χρησιμοποιώντας έναν συνδυασμό παλαιών και νέων εργαλείων και ευπαθειών.
Η ομάδα αναλυτών της BlackBerry, η οποία εντόπισε την τελευταία καμπάνια στις αρχές Ιουνίου 2023, αναφέρει ότι η συμμορία Cuba χρησιμοποιεί τώρα την ευπάθεια CVE-2023-27532 για να κλέψει credentials από configuration files.
Η συγκεκριμένη ευπάθεια επηρεάζει το Veeam Backup & Replication (VBR). Ένα exploit γι’ αυτή την ευπάθεια είναι διαθέσιμο ήδη από τον Μάρτιο του 2023.
Δείτε επίσης: Cuba ransomware: Πόσα χρήματα έχει κερδίσει η ομάδα;
Προηγουμένως, η WithSecure ανέφερε ότι η FIN7, μια ομάδα που έχει συνεργαστεί με διάφορες ομάδες ransomware, εκμεταλλευόταν ενεργά το CVE-2023-27532.
Cuba ransomware: Νέες επιθέσεις σε κρίσιμες υποδομές και IT εταιρείες
Οι ερευνητές της BlackBerry αναφέρουν ότι η αρχική πρόσβαση γίνεται με παραβιασμένα admin crednetials μέσω RDP. Στη συνέχεια, χρησιμοποιείται το χαρακτηριστικό custom πρόγραμμα downloader ‘BugHatch‘ της ransomware συμμορίας Cuba, που δημιουργεί επικοινωνία με τον διακομιστή C2 και κατεβάζει αρχεία DLL ή εκτελεί εντολές.
Μια αρχική βάση στο περιβάλλον-στόχο επιτυγχάνεται μέσω ενός Metasploit DNS stager που αποκρυπτογραφεί και εκτελεί shellcode απευθείας στη μνήμη.
Επιπλέον, η συμμορία Cuba χρησιμοποιεί την πλέον διαδεδομένη τεχνική BYOVD (Bring Your Own Vulnerable Driver) για να απενεργοποιήσει τα εργαλεία προστασίας τελικών σημείων. Επίσης, χρησιμοποιεί το εργαλείο “BurntCigar” για τον τερματισμό διεργασιών kernel που σχετίζονται με προϊόντα ασφαλείας.
Δείτε επίσης: Donald Trump: Defacement στο site “Patriot Legal Defense Fund”
Εκτός από την ευπάθεια της Veeam που είναι σχετικά πρόσφατη, οι hackers εκμεταλλεύονται επίσης το CVE-2020-1472 (“Zerologon”), μια ευπάθεια στο πρωτόκολλο NetLogon της Microsoft, το οποίο τους παρέχει κλιμάκωση προνομίων έναντι AD domain controllers.
Στη φάση μετά την εκμετάλλευση, η Cuba χρησιμοποιεί Cobalt Strike beacons και διάφορα “lolbins“.
Cuba ransomware: Εξακολουθεί να είναι μια σημαντική απειλή
Η BlackBerry υπογραμμίζει το ξεκάθαρο οικονομικό κίνητρο της συμμορίας ransomware Cuba και αναφέρει ότι η ομάδα είναι πιθανότατα Ρωσική, κάτι που έχουν υποθέσει και άλλες εταιρείες κυβερνοασφάλειας. Αυτές οι υποθέσεις βασίζονται στον αποκλεισμό υπολογιστών που χρησιμοποιούν διάταξη πληκτρολογίου Ρωσικής γλώσσας, σε ρωσικές σελίδες 404 σε μέρη της υποδομής τους, σε γλωσσικές ενδείξεις και στη στόχευση εταιρειών στη Δύση.
Οι πρόσφατες επιθέσεις δείχνουν ότι το Cuba ransomware παραμένει ενεργή απειλή. Εμφανίστηκε πρώτη φορά πριν από περίπου τέσσερα χρόνια.
Η χρήση του CVE-2023-27532 από τη ransomware συμμορία Cuba καθιστά απαραίτητη την άμεση εγκατάσταση των ενημερώσεων ασφαλείας της Veeam.
Δείτε επίσης: Google Chrome: Θα προειδοποιεί για την κατάργηση επεκτάσεων που είναι malware
Cuba Ransomware: Μέτρα προστασίας
- Εφαρμόστε άμεσα ενημερώσεις ασφαλείας.
- Εφαρμόστε μια κατάλληλη λύση email gateway για να αποτρέψετε το phishing και να αποκλείσετε τα ανεπιθύμητα μηνύματα ηλεκτρονικού ταχυδρομείου, τα οποία συχνά χρησιμοποιούνται ως αρχικός φορέας μόλυνσης.
- Εφαρμόστε τμηματοποίηση των δικτύων.
- Δημιουργήστε τακτικά αντίγραφα ασφαλείας.
- Εκπαιδεύστε το προσωπικό ώστε να μπορεί να αναγνωρίσει τις απειλές.
- Βεβαιωθείτε ότι υπάρχει μια σύγχρονη λύση τείχους προστασίας.
- Χρησιμοποιήστε VPN και Multi-Factor Authentication (2FA) για σύνδεση σε εσωτερικά δίκτυα.
Πηγή: www.bleepingcomputer.com
