Una banda de ransomware coneguda com a Cuba està aprofitant una vulnerabilitat de alta gravetat en solucions de còpia de seguretat empresarial per desplegar malware i robar credencials d’inici de sessió, segons un informe de l’equip de Recerca d’Amenaces i Intel·ligència de BlackBerry. La campanya de pirateig va començar a principis de juny, i es sospita que el grup darrere d’ella, Cuba, té vincles amb el govern rus, segons alguns experts en ciberseguretat. Això es veu recolzat pel fet que Cuba exclou dels seus atacs els punts finals amb disposició de teclat rus i té diverses pàgines 404 en rus en la seva infraestructura. El grup té com a objectiu principal les organitzacions al món occidental, cosa que porta als investigadors a creure que els atacants probablement estan alineats amb l’estat.
En aquesta campanya, Cuba va atacar organitzacions d’infraestructura crítica als Estats Units i empreses de TI a Amèrica Llatina. El grup va aprofitar la CVE-2023-27532, una fallada d’alta gravetat trobada a les eines Veeam Backup & Replication (VBR). Utilitzant credencials d’administrador prèviament obtingudes, els atacants van infiltrar xarxes objectiu a través de RDP i van desplegar el seu descarregador personalitzat BugHatch. Van ser necessaris passos addicionals per comprometre completament la xarxa, incloent la implementació d’un controlador vulnerable per desactivar les eines de protecció de punts finals.
La fallada de Veeam ha estat coneguda durant diversos mesos i hi ha una prova de concepte disponible en línia, per la qual cosa és crucial que les organitzacions implementin un pegat. Cuba també aprofita la CVE-2020-1472 (“Zerologon”), una vulnerabilitat en el protocol NetLogon de Microsoft, per a l’escalada de privilegis contra controladors de domini AD. El grup va ser observat anteriorment al abril de l’any passat explotant fallades a Microsoft Exchange per comprometre punts finals corporatius, recollir dades i desplegar el malware COLDDRAW.
Source: TechRadar
Per mitigar amenaces potencials, és important implementar mesures addicionals de ciberseguretat amb l’ajuda d’un soci de confiança com INFRA www.infrascan.net o bé pots provar-ho tu mateix utilitzant check.website.