Una banda de ransomware conocida como Cuba está explotando una vulnerabilidad de alta gravedad en soluciones de copia de seguridad empresarial para desplegar malware y robar credenciales de inicio de sesión, según un informe del equipo de Investigación de Amenazas e Inteligencia de BlackBerry. La campaña de hacking comenzó a principios de junio, y se sospecha que el grupo detrás de ella, Cuba, tiene vínculos con el gobierno ruso, según algunos expertos en ciberseguridad. Esto se respalda por el hecho de que Cuba excluye de sus ataques a los puntos finales con disposición de teclado ruso y tiene varias páginas 404 en ruso en su infraestructura. El grupo tiene como objetivo principal a organizaciones en el mundo occidental, lo que lleva a los investigadores a creer que los atacantes probablemente estén alineados con el estado.
En esta campaña, Cuba atacó a organizaciones de infraestructura crítica en los Estados Unidos y a empresas de TI en América Latina. El grupo explotó la CVE-2023-27532, una falla de alta gravedad encontrada en las herramientas Veeam Backup & Replication (VBR). Utilizando credenciales de administrador previamente obtenidas, los atacantes infiltraron redes objetivo a través de RDP y desplegaron su descargador personalizado BugHatch. Se necesitaron pasos adicionales para comprometer completamente la red, incluida la implementación de un controlador vulnerable para desactivar las herramientas de protección de puntos finales.
La falla de Veeam ha sido conocida durante varios meses y hay una prueba de concepto disponible en línea, por lo que es crucial que las organizaciones implementen un parche. Cuba también explota la CVE-2020-1472 (“Zerologon”), una vulnerabilidad en el protocolo NetLogon de Microsoft, para la escalada de privilegios contra controladores de dominio AD. El grupo fue observado anteriormente en abril del año pasado explotando fallas en Microsoft Exchange para comprometer puntos finales corporativos, recolectar datos y desplegar el malware COLDDRAW.
Source: TechRadar
Para mitigar posibles amenazas, es importante implementar medidas adicionales de ciberseguridad con la ayuda de un socio de confianza como INFRA www.infrascan.net o puede intentarlo usted mismo utilizando check.website.