Grupo usa bug da Veeam para atacar infraestruturas críticas

Views: 267
0 0
Read Time:2 Minute, 40 Second

O grupo de ransomware Cuba tem explorado uma falha que afeta os produtos Veeam Backup & Replication para atacar organizações de infraestrutura crítica nos Estados Unidos e empresas de TI na América Latina

O grupo de ransomware Cuba tem explorado uma falha que afeta os produtos Veeam Backup & Replication (VBR) para atacar organizações de infraestrutura crítica nos Estados Unidos e empresas de TI na América Latina.

A equipe de pesquisa e inteligência de ameaças da BlackBerry, que detectou a última campanha no início de junho, relata que a gangue agora utiliza o CVE-2023-27532 para roubar credenciais de arquivos de configuração usando o bug no VBR. O grupo foi rastreado realizando ataques direcionados a organizações de infraestrutura crítica usando uma combinação de ferramentas antigas e novas.

A equipe de pesquisa e inteligência de ameaças da BlackBerry, que detectou a última campanha no início de junho, relata que o Cuba agora utiliza o CVE-2023-27532 para roubar credenciais de arquivos de configuração. A exploração da falha no VBR vem sendo feita desde março.

Anteriormente, a WithSecure (ex-F-Secure) já havia relatado relatou que o FIN7, um grupo hacker com várias afiliações confirmadas e inúmeras operações de ransomware, estava explorando ativamente o CVE-2023-27532.

A BlackBerry relata que o vetor de acesso inicial do Cuba parece ser credenciais de administrador comprometidas via Remote Desktop Protocol (RDP), não envolvendo força bruta. Em seguida, o downloader personalizado de assinatura do Cuba “BugHatch” estabelece comunicação com o servidor de comando e controle (C&C) e baixa arquivos DLL (Dynamic-link library) ou executa comandos. Uma posição inicial no ambiente de destino é alcançada por meio de um stager Metasploit DNS que descriptografa e executa shellcode diretamente na memória.

A gangue Cuba usa a técnica BYOVD (Bring Your Own Vulnerable Driver, ou traga seu próprio driver vulnerável), agora amplamente difundida para desativar as ferramentas de proteção de endpoint. Além disso, o grupo usa a ferramenta “BurntCigar” para encerrar processos do kernel associados a produtos de segurança.

Além da falha relativamente recente da Veeam, o Cuba também explora o CVE-2020-1472 (Zerologon), uma vulnerabilidade no protocolo NetLogon da Microsoft, que dá aos cibercriminosos escalonamento de privilégios contra controladores de domínio Active Directory (AD).

Na fase pós-exploração, o Cuba foi observado usando sinalizadores Cobalt Strike e vários “lolbins”.

A BlackBerry destaca a clara motivação financeira da gangue de ransomware e menciona que o grupo provavelmente é de nacionalidade russa, algo que já foi sugerido por outros relatórios de inteligência cibernética no passado. Essa suposição é baseada na exclusão de computadores que usam um layout de teclado russo de infecções, páginas 404 russas em partes de sua infraestrutura, pistas linguísticas e o direcionamento do grupo com foco no Ocidente.

Enfim, o ransomware Cuba continua sendo uma ameaça ativa há aproximadamente quatro anos, o que não é comum mesmo para um grupo de ransomware.A inclusão do CVE-2023-27532 no escopo de segmentação do Cuba torna a instalação imediata das atualizações de segurança da Veeam extremamente importante e, mais uma vez, destaca o risco de atrasar as atualizações quando as explorações de PoC (prova de conceito) estão disponíveis.

FONTE: CISO ADVISOR

POSTS RELACIONADOS