Nessun risultato. Prova con un altro termine.
Guide
Notizie
Software
Tutorial

Ransomware Cuba: nuova campagna sfrutta exploit Veeam per diffondersi

Il ransomware Cuba torna all'opera, sfruttando una vulnerabilità individuata qualche settimana fa: ecco di cosa si tratta.
Ransomware Cuba: nuova campagna sfrutta exploit Veeam per diffondersi
Il ransomware Cuba torna all'opera, sfruttando una vulnerabilità individuata qualche settimana fa: ecco di cosa si tratta.
Link copiato negli appunti

Il gruppo ransomware Cuba, attiva già da tempo, ha sfruttato una nuova combinazione di strumenti e vulnerabilità per tornare alla ribalta. Nelle ultime settimane, infatti, questi criminali informatici hanno preso di mira infrastrutture critiche negli Stati Uniti e aziende IT nel contesto dell'America Latina.

Nello specifico, il team Threat Research and Intelligence di BlackBerry ha individuato e analizzato l'ultima campagna (cominciata a  giugno 2023) che sfrutta la vulnerabilità nota come  CVE-2023-27532 per rubare le credenziali dai file di configurazione.

Si tratta di uno specifica falla che riguarda i prodotti Veeam Backup & Replication, con un apposito exploit ideato da alcuni criminali informatici lo scorso mese di marzo. In precedenza, WithSecure ha riferito che FIN7, un gruppo con più affiliazioni confermate con varie operazioni ransomware, stava già attivamente sfruttando tale vulnerabilità.

Ecco come lavora il gruppo ransomware Cuba per sfruttare questa vulnerabilità

BlackBerry riferisce che il vettore di accesso iniziale di Cuba sembra essere una compromissione delle credenziali di amministratore tramite RDP, che non comporta un attacco di forza bruta.

Successivamente, un downloader personalizzato di Cuba, noto come BugHatch, stabilisce la comunicazione con il server C2 e scarica i file DLL o esegue i comandi. Un punto d'appoggio iniziale sull'ambiente di destinazione viene raggiunto tramite uno stager DNS Metasploit che decrittografa ed esegue lo shellcode direttamente in memoria.

Cuba utilizza l'ormai diffusa tecnica BYOVD (Bring Your Own Vulnerable Driver) per disattivare gli strumenti di protezione degli endpoint. Inoltre, utilizza BurntCigar per terminare i processi del kernel associati a software di sicurezza.

Oltre al difetto Veeam relativamente recente, Cuba sfrutta anche CVE-2020-1472 (noto al pubblico come Zelogon), una vulnerabilità nel protocollo NetLogon di Microsoft, che fornisce loro dei privilegi elevati. Con questa operazione, Cuba si dimostra uno dei gruppi più attivi della scena ransomware a livello mondiale.

Ti consigliamo anche