Cuba ransomware kampányok
A Cuba ransomware az Egyesült Államokban kritikus infrastruktúra-szervezeteket és Latin-Amerikában IT-cégeket célzó támadásokban figyelték meg, régi és új eszközök kombinációjával. A BlackBerry Threat Research and Intelligence csapata, amely 2023 júniusának elején észlelte a legutóbbi kampányt, arról számolt be, hogy Kuba most a CVE-2023-27532 segítségével lopja el a hitelesítő adatokat a konfigurációs fájlokból.
A konkrét hiba a Veeam Backup & Replication (VBR) termékeit érinti, és 2023 márciusa óta elérhető a kiaknázása.
A BlackBerry jelentése szerint Cuba ransomware kezdeti hozzáférési vektora úgy tűnik, hogy az RDP-n keresztül feltörték az adminisztrátori hitelesítő adatokat, és nem jár brutális kényszerítéssel. A célkörnyezet kezdeti megtámasztását egy Metasploit DNS-stager biztosítja, amely dekódolja és közvetlenül a memóriában futtatja a shellkódot.
A ma már széles körben elterjedt BYOVD (Bring Your Own Vulnerable Driver) technikát alkalmazza a végpontvédelmi eszközök kikapcsolására. Ezenkívül a „BurntCigar” eszközt használja a biztonsági termékekhez kapcsolódó kernelfolyamatok leállítására.
A viszonylag új keletű Veeam hibától eltekintve Kuba a CVE-2020-1472 („Zerologon”) sérülékenységet is kihasználja, amely a Microsoft NetLogon protokolljának sebezhetősége, amely kiterjeszti a jogosultságokat az AD tartományvezérlőkkel szemben.