Банда вымогателей, известная как Cuba, эксплуатирует высокоуровневую уязвимость в корпоративных решениях для резервного копирования, чтобы развертывать вредоносное программное обеспечение и красть учетные данные для входа в систему, согласно отчету команды по исследованию угроз и разведке BlackBerry. Хакерская кампания началась в начале июня, и, по мнению некоторых экспертов по кибербезопасности, группа, стоящая за ней, Cuba, может иметь связи с российским правительством. Это подтверждается тем фактом, что Cuba исключает из своих атак конечные точки с русской раскладкой клавиатуры и имеет несколько русских страниц 404 в своей инфраструктуре. Группа в основном нацелена на организации в западном мире, что заставляет исследователей полагать, что атакующие, вероятно, поддерживаются государством.
В этой кампании Cuba нацелилась на организации критической инфраструктуры в Соединенных Штатах и ИТ-фирмы в Латинской Америке. Группа эксплуатировала уязвимость высокого уровня CVE-2023-27532, обнаруженную в инструментах Veeam Backup & Replication (VBR). Используя ранее полученные учетные данные администратора, злоумышленники проникли в целевые сети через RDP и развернули свой специализированный загрузчик BugHatch. Для полного компрометирования сети потребовались дополнительные шаги, включая развертывание уязвимого драйвера для отключения инструментов защиты конечных точек.
Уязвимость Veeam известна уже несколько месяцев, и в Интернете доступна демонстрационная версия, что делает критически важным для организаций внедрение патча. Cuba также использует CVE-2020-1472 (“Zerologon”), уязвимость в протоколе NetLogon компании Microsoft, для повышения привилегий против контроллеров домена AD. Ранее группу наблюдали в середине апреля прошлого года, злоупотребляя уязвимостями в Microsoft Exchange для компрометации корпоративных конечных точек, сбора данных и развертывания вредоносного программного обеспечения COLDDRAW.
Source: TechRadar
Чтобы смягчить потенциальные угрозы, важно реализовать дополнительные меры по обеспечению кибербезопасности с помощью надежного партнера, такого как INFRA www.infrascan.net, или вы можете попробовать сами, используя check.website.