Một băng đảng ransomware được biết đến với tên gọi Cuba đang khai thác một lỗ hổng nghiêm trọng trong các giải pháp sao lưu doanh nghiệp để triển khai phần mềm độc hại và ăn cắp thông tin đăng nhập, theo một báo cáo từ nhóm Nghiên cứu và Tình báo Đe dọa của BlackBerry. Chiến dịch tấn công mạng này bắt đầu vào đầu tháng 6, và nhóm đứng sau nó, Cuba, được cho là có liên kết với chính phủ Nga theo một số chuyên gia an ninh mạng. Điều này được chứng minh bởi việc Cuba loại trừ các điểm cuối với bố cục bàn phím tiếng Nga khỏi các cuộc tấn công của mình và có nhiều trang lỗi 404 tiếng Nga trên hạ tầng của họ. Nhóm chủ yếu nhắm vào các tổ chức ở thế giới phương Tây, khiến các nhà nghiên cứu tin rằng các kẻ tấn công có khả năng được ủng hộ bởi một quốc gia.
Trong chiến dịch này, Cuba đã nhắm vào các tổ chức hạ tầng quan trọng tại Hoa Kỳ và các công ty CNTT ở Mỹ Latin. Nhóm đã khai thác lỗ hổng nghiêm trọng CVE-2023-27532, được tìm thấy trong các công cụ Veeam Backup & Replication (VBR). Sử dụng thông tin xác thực của quản trị viên đã được lấy trước đó, các kẻ tấn công đã xâm nhập vào các mạng mục tiêu thông qua RDP và triển khai trình tải về tùy chỉnh của họ có tên là BugHatch. Cần thêm các bước để hoàn toàn chiếm được mạng, bao gồm việc triển khai trình điều khiển dễ bị tổn thương để vô hiệu hóa các công cụ bảo vệ điểm cuối.
Lỗ hổng Veeam đã được biết đến trong vài tháng, và một bằng chứng về khái niệm có sẵn trực tuyến, khiến việc triển khai bản vá trở nên quan trọng đối với các tổ chức. Cuba cũng khai thác lỗ hổng CVE-2020-1472 (“Zerologon”), một lỗ hổng trong giao thức NetLogon của Microsoft, để leo thang quyền chống lại các bộ điều khiển miền AD. Nhóm này đã từng được quan sát vào giữa tháng 4 năm trước khi lạm dụng các lỗ hổng trong Microsoft Exchange để xâm nhập vào các điểm cuối doanh nghiệp, thu thập dữ liệu và triển khai phần mềm độc hại COLDDRAW.
Source: TechRadar
Để giảm thiểu các mối đe dọa tiềm năng, điều quan trọng là cần thực hiện các biện pháp bảo mật mạng bổ sung với sự giúp đỡ của một đối tác đáng tin cậy như INFRA www.infrascan.net hoặc bạn cũng có thể tự thử bằng cách sử dụng check.website.