Gli esperti di BlackBerry Threat Research hanno scoperto nuovi attacchi ransomware effettuati dal gruppo Cuba (che nonostante il nome sono russi). I cybercriminali hanno sfruttato vulnerabilità software insieme a vecchi e nuovi tool per colpire aziende che gestiscono infrastrutture critiche negli Stati Uniti e aziende IT in America Latina.
Tecniche, tattiche e procedure del gruppo Cuba
L’accesso iniziale avviene tramite credenziali di amministratore rubate via RDP (Remote Desktop Protocol). Successivamente viene distribuito BUGHATCH, un downloader che effettua la connessione al server C2 (command and control) e scarica vari payload (in questo caso quattro DLL). I cybercriminali usano inoltre Metasploit, Wedgecut e la tecnica BYOVD (Bring Your Own Vulnerable Driver) per disattivare le soluzioni di sicurezza.
Con il tool BURNTCIGAR vengono invece terminati oltre 200 processi a livello kernel, soprattutto quelli associati ai prodotti di sicurezza. Durante l’ultima campagna sono state anche sfruttate due vulnerabilità. La prima (CVE-2020-1472), nota come Zerologon e presente nel protocollo NetLogon di Microsoft, permette di ottenere privilegi elevati nei controller di dominio Active Directory.
La seconda (CVE-2023-27532), presente nel software di backup Veeam, consente di rubare le credenziali memorizzate nei file di configurazione. Il gruppo Cuba utilizza inoltre beacon Cobalt Strike e vari Living-off-the-Land Binaries (LOLBINS), ovvero le utility offerte da Windows, principalmente quelle che permettono la scansione della rete locale.
L’obiettivo finale è installare l’omonimo ransomware e chiedere il riscatto minacciando la pubblicazione dei dati (doppia estorsione). Il gruppo è attivo da almeno quattro anni. Secondo le autorità statunitensi sono state colpite oltre 100 aziende, dalle quali i cybercriminali hanno ricevuto oltre 60 milioni di dollari. Per ridurre i rischi è necessario installare tutti gli aggiornamenti software.
Ti potrebbe interessare
21 ago 2023