Ransomware Cuba usa o exploit Veeam contra organizações críticas dos EUA
21 de Agosto de 2023

A gangue de ransomware Cuba foi observada em ataques direcionados a organizações de infraestrutura crítica nos Estados Unidos e empresas de TI na América Latina, usando uma combinação de ferramentas antigas e novas.

A equipe de Pesquisa de Ameaças e Inteligência da BlackBerry, que detectou a última campanha no início de Junho de 2023, relata que Cuba agora aproveita o CVE-2023-27532 para roubar credenciais de arquivos de configuração.

A falha específica impacta os produtos Veeam Backup & Replication (VBR), e um exploit para ela está disponível desde março de 2023.

Anteriormente, WithSecure relatou que a FIN7, um grupo com várias afiliações confirmadas com várias operações de ransomware, estava explorando ativamente o CVE-2023-27532 .

A BlackBerry relata que o vetor de acesso inicial de Cuba parece ser credenciais de administrador comprometidas via RDP, não envolvendo força bruta.

Em seguida, o downloader personalizado de Cuba "BugHatch" estabelece comunicação com o servidor C2 e baixa arquivos DLL ou executa comandos.

Um ponto de apoio inicial no ambiente alvo é alcançado através de um estágio DNS do Metasploit que descriptografa e executa o shellcode diretamente na memória.

Cuba utiliza a agora difundida técnica BYOVD (Traga seu próprio driver vulnerável) para desligar as ferramentas de proteção de endpoint.

Além disso, ele usa a ferramenta 'BurntCigar' para encerrar processos de kernel associados a produtos de segurança.

Além da falha da Veeam que é relativamente recente, Cuba também explora o CVE-2020-1472 ("Zerologon"), uma vulnerabilidade no protocolo NetLogon da Microsoft, que lhes dá escalada de privilégios contra controladores de domínio AD.

Na fase de pós-exploração, Cuba foi observada utilizando balizas da Cobalt Strike e vários "lolbins".

A BlackBerry destaca a clara motivação financeira da gangue de ransomware de Cuba e menciona que o grupo de ameaças provavelmente é russo, algo que já foi hipotetizado por outros relatórios de ciberinteligência no passado.

Esta suposição baseia-se na exclusão de computadores que usam um layout de teclado russo das infecções, páginas 404 russas em partes de sua infraestrutura, pistas linguísticas e o foco ocidental do grupo.

Em conclusão, o ransomware Cuba continua sendo uma ameaça ativa aproximadamente quatro anos após sua existência, o que não é comum em ransomwares.

A inclusão do CVE-2023-27532 no escopo de direcionamento de Cuba torna a instalação do Veeam security updates extremamente importante e, mais uma vez, destaca o risco de atrasar atualizações quando exploits de PoC (prova-de-conceito) publicamente disponíveis estão disponíveis.

Publicidade

Aprenda hacking e pentest na prática com esse curso gratuito

Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...