A gangue de ransomware Cuba foi observada em ataques direcionados a organizações de infraestrutura crítica nos Estados Unidos e empresas de TI na América Latina, usando uma combinação de ferramentas antigas e novas.
A equipe de Pesquisa de Ameaças e Inteligência da BlackBerry, que detectou a última campanha no início de Junho de 2023, relata que Cuba agora aproveita o
CVE-2023-27532
para roubar credenciais de arquivos de configuração.
A falha específica impacta os produtos Veeam Backup & Replication (VBR), e um exploit para ela está disponível desde março de 2023.
Anteriormente, WithSecure relatou que a FIN7, um grupo com várias afiliações confirmadas com várias operações de ransomware, estava explorando ativamente o
CVE-2023-27532
.
A BlackBerry relata que o vetor de acesso inicial de Cuba parece ser credenciais de administrador comprometidas via RDP, não envolvendo força bruta.
Em seguida, o downloader personalizado de Cuba "BugHatch" estabelece comunicação com o servidor C2 e baixa arquivos DLL ou executa comandos.
Um ponto de apoio inicial no ambiente alvo é alcançado através de um estágio DNS do Metasploit que descriptografa e executa o shellcode diretamente na memória.
Cuba utiliza a agora difundida técnica BYOVD (Traga seu próprio driver vulnerável) para desligar as ferramentas de proteção de endpoint.
Além disso, ele usa a ferramenta 'BurntCigar' para encerrar processos de kernel associados a produtos de segurança.
Além da falha da Veeam que é relativamente recente, Cuba também explora o
CVE-2020-1472
("Zerologon"), uma vulnerabilidade no protocolo NetLogon da Microsoft, que lhes dá escalada de privilégios contra controladores de domínio AD.
Na fase de pós-exploração, Cuba foi observada utilizando balizas da Cobalt Strike e vários "lolbins".
A BlackBerry destaca a clara motivação financeira da gangue de ransomware de Cuba e menciona que o grupo de ameaças provavelmente é russo, algo que já foi hipotetizado por outros relatórios de ciberinteligência no passado.
Esta suposição baseia-se na exclusão de computadores que usam um layout de teclado russo das infecções, páginas 404 russas em partes de sua infraestrutura, pistas linguísticas e o foco ocidental do grupo.
Em conclusão, o ransomware Cuba continua sendo uma ameaça ativa aproximadamente quatro anos após sua existência, o que não é comum em ransomwares.
A inclusão do
CVE-2023-27532
no escopo de direcionamento de Cuba torna a instalação do Veeam security updates extremamente importante e, mais uma vez, destaca o risco de atrasar atualizações quando exploits de PoC (prova-de-conceito) publicamente disponíveis estão disponíveis.
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...