En fremtrædende ransomware-bande udnytter sårbarheder inden for backupsoftware for at bryde kritisk infrastruktur.
De cyberkriminelle udnytter svagheder i Veeams backup-løsning og implementerer malware og stjæler login-legitimationsoplysninger.
BlackBerry's Threat Research and Intelligence-team afslørede for nylig denne hacking-kampagne, som startede i begyndelsen af juni i år. Gruppen, kendt som "Cuba", er blevet forbundet af nogle cybersikkerhedseksperter til den russiske regering.
Ransomware gruppen "Cuba"
Mærkeligt nok afholder Cuba sig fra at målrette mod endepunkter ved at bruge det russiske tastaturlayout og opretholder en samling af russiske 404-sider i sin infrastruktur. Desuden er deres fokus overvejende på organisationer på den vestlige halvkugle, hvilket tyder på mulig statsstøttet involvering.
I denne operation rettede gruppen sig mod "kritiske infrastrukturorganisationer" i USA såvel som it-firmaer i Latinamerika, selvom specifikke navne ikke blev afsløret. Cuba udnyttede CVE-2023-27532, en virkningsfuld sårbarhed fundet i Veeam Backup & Replication (VBR)-værktøjer, til at infiltrere disse entiteter.
Bevæbnet med tidligere erhvervede administratoroplysninger brugte angriberne RDP til at bryde målnetværket ved at implementere deres skræddersyede downloader, BugHatch. For at opnå fuld netværkskompromis blev der taget yderligere skridt, herunder implementering af en modtagelig driver til at deaktivere endpoint-beskyttelsesværktøjer.
I betragtning af Veeam-fejlens levetid og eksistensen af et let tilgængeligt proof-of-concept online, er det bydende nødvendigt at implementere en patch omgående.
Derudover udnytter Cuba CVE-2020-1472, kendt som "Zerologon", en sårbarhed i Microsofts NetLogon-protokol, som giver angriberne privilegeret adgang til AD-domænecontrollere.
Cubas tidligere bemærkelsesværdige aktivitet blev dokumenteret i midten af april i det foregående år, da cybersikkerhedseksperter fra Mandiant observerede, at gruppen udnyttede sårbarheder i Microsoft Exchange. Dette gjorde det muligt for dem at bryde virksomhedens slutpunkter, høste data og implementere COLDDRAW-malwaren.
Ifølge eksperternes resultater har gruppen brugt ProxyShell og ProxyLogon sårbarheder i det mindste siden august 2021 til at implantere forskellige web-skaller, Remote Access Trojans (RAT'er) og bagdøre på kompromitterede systemer.