Το Cuba ransomware εκμεταλλεύεται ευπάθειες στο Microsoft Exchange για να αποκτήσει πρόσβαση σε εταιρικά δίκτυα και κρυπτογράφηση συσκευών.
Δείτε επίσης: Επιθέσεις ransomware: Ο εφιάλτης δε σταματά μετά την πληρωμή των λύτρων
Η εταιρεία κυβερνοασφάλειας Mandiant παρακολουθεί μία συμμορία ransomware, γνωστή ως UNC2596 και το ίδιο το ransomware, γνωστό ως COLDDRAW. Ωστόσο, το ransomware είναι πιο γνωστό με το όνομα Cuba.
Πρόκειται για μία επιχείρηση ransomware που ξεκίνησε στα τέλη του 2019 και ενώ αρχικά εξελισσόταν αργά, η δράση της εκτοξεύτηκε το 2020 και το 2021. Αυτή η αύξηση της δραστηριότητας οδήγησε το FBI να εκδώσει μια συμβουλευτική για το Cuba ransomware τον Δεκέμβριο του 2021, προειδοποιώντας ότι η συμμορία πίσω από αυτό παραβίασε 49 οργανισμούς υποδομής ζωτικής σημασίας στις ΗΠΑ
Σύμφωνα με την Mandiant, το Cuba ransomware στοχεύει κυρίως τις Ηνωμένες Πολιτείες και τον Καναδά.
Η συμμορία ransomware πίσω από το Cuba ransomware, αξιοποιεί τα τρωτά σημεία του Microsoft Exchange για να αναπτύξει web shells, RAT και backdoors ώστε να εδραιώσει τη θέση της στο δίκτυο-στόχο από τον Αύγουστο του 2021.
Αυτά τα backdoors περιλαμβάνουν το Cobalt Strike ή το εργαλείο απομακρυσμένης πρόσβασης NetSupport Manager, αλλά η ομάδα χρησιμοποιεί επίσης τα δικά της εργαλεία «Bughatch», «Wedgecut» και «eck.exe» και Burntcigar.
Δείτε ακόμα: Το ransomware Entropy συνδέεται με το Dridex malware downloader
Το Wedgecut έρχεται με τη μορφή ενός εκτελέσιμου με το όνομα “check.exe“, το οποίο είναι ένα αναγνωριστικό εργαλείο που απαριθμεί την υπηρεσία καταλόγου Active Directory μέσω του PowerShell.
Το Bughatch είναι ένα πρόγραμμα λήψης που ανακτά σενάρια και αρχεία PowerShell από τον διακομιστή C&C. Για να αποφύγει τον εντοπισμό, φορτώνει στη μνήμη από μια απομακρυσμένη διεύθυνση URL.
Το Burntcigar είναι ένα βοηθητικό πρόγραμμα που μπορεί να τερματίσει διεργασίες σε επίπεδο πυρήνα, εκμεταλλευόμενο ένα ελάττωμα σε ένα πρόγραμμα Avast, το οποίο περιλαμβάνεται στο εργαλείο επίθεσης “bring your own vulnerable driver“.
Οι κακόβουλοι χρήστες κλιμακώνουν τα προνόμιά τους στο δίκτυο, χρησιμοποιώντας κλεμμένα διαπιστευτήρια λογαριασμού που προέρχονται από τα άμεσα διαθέσιμα εργαλεία Mimikatz και Wicker.
Στη συνέχεια πραγματοποιούν αναγνώριση δικτύου με το Wedgecut και μετακινούνται πλευρικά με RDP, SMB, PsExec και Cobalt Strike.
Η επακόλουθη ανάπτυξη είναι το Bughatch που φορτώνεται από τον Termite, ακολουθούμενο από το Burntcigar, το οποίο θέτει το έδαφος για την εξαγωγή δεδομένων και την κρυπτογράφηση αρχείων με την απενεργοποίηση των εργαλείων ασφαλείας.
Δείτε επίσης: LockBit & Conti: Τα πιο ενεργά ransomware στον βιομηχανικό τομέα
Η επιχείρηση Cuba πιθανότατα θα στρέψει την προσοχή της και σε άλλα τρωτά σημεία, όταν δεν υπάρχουν πιο πολύτιμοι στόχοι που να εκτελούν μη επιδιορθωμένους διακομιστές Microsoft Exchange.
Αυτό σημαίνει ότι η εφαρμογή των διαθέσιμων ενημερωμένων εκδόσεων ασφαλείας μόλις τις εκδώσουν οι προμηθευτές λογισμικού, είναι το κλειδί για τη διατήρηση μιας ισχυρής στάσης ασφαλείας έναντι ακόμη και των πιο εξελιγμένων hacker.
