Il gruppo ransomware Cuba, attiva già da tempo, ha sfruttato una nuova combinazione di strumenti e vulnerabilità per tornare alla ribalta. Nelle ultime settimane, infatti, questi criminali informatici hanno preso di mira infrastrutture critiche negli Stati Uniti e aziende IT nel contesto dell'America Latina.
Nello specifico, il team Threat Research and Intelligence di BlackBerry ha individuato e analizzato l'ultima campagna (cominciata a giugno 2023) che sfrutta la vulnerabilità nota come CVE-2023-27532 per rubare le credenziali dai file di configurazione.
Si tratta di uno specifica falla che riguarda i prodotti Veeam Backup & Replication, con un apposito exploit ideato da alcuni criminali informatici lo scorso mese di marzo. In precedenza, WithSecure ha riferito che FIN7, un gruppo con più affiliazioni confermate con varie operazioni ransomware, stava già attivamente sfruttando tale vulnerabilità.
Ecco come lavora il gruppo ransomware Cuba per sfruttare questa vulnerabilità
BlackBerry riferisce che il vettore di accesso iniziale di Cuba sembra essere una compromissione delle credenziali di amministratore tramite RDP, che non comporta un attacco di forza bruta.
Successivamente, un downloader personalizzato di Cuba, noto come BugHatch, stabilisce la comunicazione con il server C2 e scarica i file DLL o esegue i comandi. Un punto d'appoggio iniziale sull'ambiente di destinazione viene raggiunto tramite uno stager DNS Metasploit che decrittografa ed esegue lo shellcode direttamente in memoria.
Cuba utilizza l'ormai diffusa tecnica BYOVD (Bring Your Own Vulnerable Driver) per disattivare gli strumenti di protezione degli endpoint. Inoltre, utilizza BurntCigar per terminare i processi del kernel associati a software di sicurezza.
Oltre al difetto Veeam relativamente recente, Cuba sfrutta anche CVE-2020-1472 (noto al pubblico come Zelogon), una vulnerabilità nel protocollo NetLogon di Microsoft, che fornisce loro dei privilegi elevati. Con questa operazione, Cuba si dimostra uno dei gruppi più attivi della scena ransomware a livello mondiale.