Un gruppo di ransomware noto come Cuba sta sfruttando una vulnerabilità ad alta gravità nelle soluzioni di backup aziendale per distribuire malware e rubare credenziali di accesso, secondo un rapporto del team di Ricerca e Intelligenza sulle Minacce di BlackBerry. La campagna di hacking è iniziata all’inizio di giugno, e il gruppo dietro di essa, Cuba, è sospettato da alcuni esperti di cybersecurity di avere legami con il governo russo. Questo è supportato dal fatto che Cuba esclude gli endpoint con il layout della tastiera russa dai suoi attacchi e ha diverse pagine 404 russe sulla sua infrastruttura. Il gruppo prende di mira principalmente organizzazioni nel mondo occidentale, portando i ricercatori a credere che gli aggressori siano probabilmente allineati con lo stato.
In questa campagna, Cuba ha preso di mira organizzazioni di infrastrutture critiche negli Stati Uniti e aziende IT in America Latina. Il gruppo ha sfruttato CVE-2023-27532, una falla ad alta gravità riscontrata negli strumenti Veeam Backup & Replication (VBR). Utilizzando credenziali di amministratore precedentemente ottenute, gli aggressori hanno infiltrato le reti target tramite RDP e distribuito il loro downloader personalizzato BugHatch. Sono stati necessari ulteriori passaggi per compromettere completamente la rete, tra cui il dispiegamento di un driver vulnerabile per disabilitare gli strumenti di protezione degli endpoint.
La falla di Veeam è nota da diversi mesi, ed è disponibile online una prova di concetto, rendendo cruciale per le organizzazioni l’implementazione di una patch. Cuba sfrutta anche CVE-2020-1472 (“Zerologon”), una vulnerabilità nel protocollo NetLogon di Microsoft, per l’escalation di privilegi contro i controller di dominio AD. Il gruppo è stato precedentemente osservato a metà aprile dello scorso anno nell’abusare di falle in Microsoft Exchange per compromettere gli endpoint aziendali, raccogliere dati e distribuire il malware COLDDRAW.
Source: TechRadar
Per mitigare potenziali minacce, è importante implementare ulteriori misure di sicurezza informatica con l’aiuto di un partner affidabile come INFRA www.infrascan.net o è possibile provarci da soli utilizzando check.website.