Il gruppo di ransomware Cuba ha lanciato attacchi mirati contro organizzazioni di infrastrutture critiche negli Stati Uniti e aziende IT in America Latina, utilizzando una combinazione di strumenti vecchi e nuovi.
Dettagli dell’attacco
Il team di ricerca e intelligence delle minacce di BlackBerry, che ha individuato la recente campagna all’inizio di giugno 2023, ha riferito che Cuba ora sfrutta la vulnerabilità CVE-2023-27532 per rubare credenziali dai file di configurazione. Questa specifica vulnerabilità colpisce i prodotti Veeam Backup & Replication (VBR) e un exploit per essa è disponibile dal marzo 2023. In precedenza, WithSecure aveva segnalato che il gruppo FIN7, con molteplici affiliati confermati a varie operazioni di ransomware, stava attivamente sfruttando CVE-2023-27532.
Dettagli dell’attacco di Cuba
BlackBerry ha riferito che il vettore di accesso iniziale di Cuba sembra essere le credenziali di amministrazione compromesse tramite RDP, senza l’uso di forzature brute. Successivamente, il downloader personalizzato di Cuba, denominato ‘BugHatch’, stabilisce una comunicazione con il server C2 e scarica file DLL o esegue comandi. Un primo punto d’appoggio nell’ambiente target viene ottenuto attraverso uno stager DNS di Metasploit che decifra ed esegue shellcode direttamente in memoria. Cuba utilizza la tecnica BYOVD (Bring Your Own Vulnerable Driver) per disattivare gli strumenti di protezione endpoint. Inoltre, usa lo strumento ‘BurntCigar’ per terminare i processi kernel associati ai prodotti di sicurezza. Oltre alla recente vulnerabilità di Veeam, Cuba sfrutta anche CVE-2020-1472 (“Zerologon”), una vulnerabilità nel protocollo NetLogon di Microsoft, che consente loro di scalare i privilegi contro i controller di dominio AD. Nella fase post-sfruttamento, Cuba è stato osservato utilizzare beacon di Cobalt Strike e vari “lolbins”.
Cuba rimane molto attivo
BlackBerry sottolinea la chiara motivazione finanziaria del gruppo di ransomware Cuba e menziona che il gruppo di minacce è probabilmente russo, come ipotizzato da altri rapporti di cyber-intelligence in passato. Questa supposizione si basa sull’esclusione di computer che utilizzano un layout di tastiera russo dalle infezioni, pagine 404 russe in parti della sua infrastruttura, indizi linguistici e il targeting focalizzato sull’Occidente. In conclusione, il ransomware Cuba rimane una minaccia attiva circa quattro anni dopo la sua esistenza, cosa non comune nei ransomware. L’inclusione di CVE-2023-27532 nell’ambito di mira di Cuba rende estremamente importante l’installazione tempestiva degli aggiornamenti di sicurezza di Veeam e sottolinea nuovamente il rischio di ritardare gli aggiornamenti quando sono disponibili exploit PoC (proof-of-concept) pubblici.