O grupo de ransomware Cuba tem explorado uma falha que afeta os produtos Veeam Backup & Replication (VBR) para atacar organizações de infraestrutura crítica nos Estados Unidos e empresas de TI na América Latina.
A equipe de pesquisa e inteligência de ameaças da BlackBerry, que detectou a última campanha no início de junho, relata que a gangue agora utiliza o CVE-2023-27532 para roubar credenciais de arquivos de configuração usando o bug no VBR. O grupo foi rastreado realizando ataques direcionados a organizações de infraestrutura crítica usando uma combinação de ferramentas antigas e novas.
A equipe de pesquisa e inteligência de ameaças da BlackBerry, que detectou a última campanha no início de junho, relata que o Cuba agora utiliza o CVE-2023-27532 para roubar credenciais de arquivos de configuração. A exploração da falha no VBR vem sendo feita desde março.
Anteriormente, a WithSecure (ex-F-Secure) já havia relatado relatou que o FIN7, um grupo hacker com várias afiliações confirmadas e inúmeras operações de ransomware, estava explorando ativamente o CVE-2023-27532.
A BlackBerry relata que o vetor de acesso inicial do Cuba parece ser credenciais de administrador comprometidas via Remote Desktop Protocol (RDP), não envolvendo força bruta. Em seguida, o downloader personalizado de assinatura do Cuba “BugHatch” estabelece comunicação com o servidor de comando e controle (C&C) e baixa arquivos DLL (Dynamic-link library) ou executa comandos. Uma posição inicial no ambiente de destino é alcançada por meio de um stager Metasploit DNS que descriptografa e executa shellcode diretamente na memória.
A gangue Cuba usa a técnica BYOVD (Bring Your Own Vulnerable Driver, ou traga seu próprio driver vulnerável), agora amplamente difundida para desativar as ferramentas de proteção de endpoint. Além disso, o grupo usa a ferramenta “BurntCigar” para encerrar processos do kernel associados a produtos de segurança.
Além da falha relativamente recente da Veeam, o Cuba também explora o CVE-2020-1472 (Zerologon), uma vulnerabilidade no protocolo NetLogon da Microsoft, que dá aos cibercriminosos escalonamento de privilégios contra controladores de domínio Active Directory (AD).
Na fase pós-exploração, o Cuba foi observado usando sinalizadores Cobalt Strike e vários “lolbins”.
Veja isso
Ransomware Cuba hackeia servidores Exchange
52 infraestruturas críticas atacadas por ransomware nos EUA
A BlackBerry destaca a clara motivação financeira da gangue de ransomware e menciona que o grupo provavelmente é de nacionalidade russa, algo que já foi sugerido por outros relatórios de inteligência cibernética no passado. Essa suposição é baseada na exclusão de computadores que usam um layout de teclado russo de infecções, páginas 404 russas em partes de sua infraestrutura, pistas linguísticas e o direcionamento do grupo com foco no Ocidente.
Enfim, o ransomware Cuba continua sendo uma ameaça ativa há aproximadamente quatro anos, o que não é comum mesmo para um grupo de ransomware.A inclusão do CVE-2023-27532 no escopo de segmentação do Cuba torna a instalação imediata das atualizações de segurança da Veeam extremamente importante e, mais uma vez, destaca o risco de atrasar as atualizações quando as explorações de PoC (prova de conceito) estão disponíveis.
Após a publicação da vulnerabilidade, a Veeam enviou ao CISO Advisor o comunicado abaixo, publicado na íntegra:
“A Veeam tem um compromisso de longa data de garantir que nossos produtos protejam os clientes de qualquer risco em potencial. Como parte disso, executamos um Programa de Divulgação de Vulnerabilidades (VDP) para todos os nossos produtos. Em meados de fevereiro, um pesquisador de segurança identificou e relatou uma vulnerabilidade para o Veeam Backup & Replication™ (VBR) com uma pontuação do Common Vulnerability Scoring System (CVSS) de 7,5 em 10, ou alta gravidade, como parte do programa. A vulnerabilidade poderia permitir que um usuário não autenticado, operando dentro do perímetro da rede da infraestrutura de backup, solicitasse credenciais criptografadas, que posteriormente poderiam levar ao acesso aos hosts da infraestrutura de backup.
Após analisar e confirmar imediatamente a vulnerabilidade, a Veeam desenvolveu um patch para mitigar a vulnerabilidade para VBR v11 e v12.
Nós nos comunicamos diretamente com todos os nossos clientes VBR. Foi publicado um artigo da Base de Conhecimento detalhando o problema e lançamos um patch, que permitirá aos clientes mitigar imediatamente a vulnerabilidade.
Quando uma vulnerabilidade é identificada e divulgada, os invasores ainda tentarão explorar e fazer engenharia reversa dos patches para usar a vulnerabilidade em uma versão não corrigida do software Veeam em suas tentativas de exploração. Isso ressalta a importância de garantir que os clientes estejam usando as versões mais recentes de todos os softwares e que os patches sejam instalados em tempo hábil.
