Detectar infecciones del grupo de amenazas Cuba Ransomware: Nuevas herramientas aplicadas en ataques contra organizaciones de infraestructura crÃtica en EE.UU.
Tabla de contenidos:
Activo desde 2019, los operadores de ransomware Cuba evolucionan constantemente sus métodos de ataque y parecen no detenerse. Las operaciones maliciosas más recientes contra organizaciones en EE.UU. y América Latina dependen de la combinación de herramientas nuevas y antiguas. Particularmente, los mantenedores de Cuba añadieron un exploit de Veeam (CVE-2023-27532) a su conjunto de herramientas ofensivas para obtener datos sensibles de los usuarios atacados.
Detectar Ataques del Grupo de Ransomware Cuba
Con TTPs más sofisticadas añadidas al panorama del ransomware, los practicantes de ciberseguridad se esfuerzan por adelantarse a los adversarios y detectar posibles intrusiones en las primeras etapas. La Plataforma SOC Prime para la defensa cibernética colectiva cura un conjunto de reglas Sigma relevantes para ayudar a los profesionales de seguridad a detectar proactivamente las cadenas de ataque de ransomware Cuba en constante evolución. Todos los algoritmos de detección son compatibles con los formatos lÃderes de SIEM, EDR, XDR y Data Lake mientras están mapeados a MITRE ATT&CK v12.
Presiona el botón Explorar Detecciones a continuación para obtener toda la pila de dirección enriquecida con metadatos contextuales, incluyendo referencias ATT&CK y enlaces CTI.
Análisis de Ataque de Ransomware Cuba
Los operadores de ransomware Cuba han estado realizando operaciones maliciosas durante más de cuatro años, convirtiéndose en un duro adversario para los defensores. En 2021, los hackers distribuyeron malware SystemBC junto con otros afiliados nefastos de RaaS, incluyendo DarkSide, Ryuk. En 2022, el grupo resurgió, aprovechando nuevos TTPs y un conjunto de herramientas de adversario más sofisticado, como ROMCOM RAT, y abusando de la infame vulnerabilidad ZeroLogon, SystemBC DarkSide DarkSide and Ryuk. En octubre de 2022, el colectivo de hackers, también rastreado como Tropical Scorpius, fue vinculado a una campaña de phishing masiva contra entidades estatales ucranianas utilizando un archivo adjunto señuelo y propagando el backdoor ROMCOM. CVE-2020-1472. ROMCOM backdoor.
Se sospecha que los operadores de ransomware Cuba están vinculados a las fuerzas ofensivas rusas y experimentan frecuentemente con diferentes muestras de malware y herramientas ofensivas. El análisis del código también ha apoyado la teorÃa del origen ruso del grupo.
En 2023, se observó a los adversarios detrás de una serie de intrusiones sofisticadas dirigidas a empresas de múltiples sectores industriales. El equipo de BlackBerry ha emitido recientemente una investigación cubriendo la campaña de junio de los mantenedores de Cuba, en la que los adversarios apuntan a organizaciones en EE.UU. y América Latina. Los hackers emplean herramientas que han demostrado ser exitosas en campañas adversarias anteriores, junto con el aprovechamiento de capacidades ofensivas novedosas. En los últimos ataques, el grupo de amenaza Cuba intenta explotar CVE-2023-27532, una vulnerabilidad en el componente de Veeam Backup & Replication. Los intentos de explotación exitosos permiten a los atacantes acceder a los hosts de infraestructura de respaldo.
La investigación de los investigadores de BlackBerry sobre los últimos ciberataques del grupo mencionado ha descubierto el uso por parte del adversario de BUGHATCH y BURNTCIGAR, Metasploit, y Cobalt Strike frameworks además de múltiples LOLBINS con algunas muestras de código PoC de explotación disponibles públicamente.
Similar a múltiples mantenedores de ransomware, Cuba aplica doble extorsión permitiendo a los adversarios exfiltrar los datos sensibles de los usuarios comprometidos, además de encriptarlos mientras se obliga a las vÃctimas a pagar el rescate. En el otoño de 2023, CISA y FBI publicaron un aviso conjunto de ciberseguridad notificando a los defensores sobre las crecientes amenazas relacionadas con la actividad adversaria del grupo Cuba y destinada a ayudar a las organizaciones a optimizar el riesgo de su postura de ciberseguridad.
Cuba ha estado aplicando TTPs similares durante toda su actividad en el ámbito de amenazas cibernéticas, actualizándolos ligeramente en 2023. En uno de los ataques más recientes dirigidos a una organización de EE.UU., los adversarios aplicaron una técnica de reutilización de credenciales. Anteriormente, realizaron intentos exitosos de explotar brechas de seguridad o Brokers de Acceso Inicial (IABs) para mantener acceso a los sistemas atacados.
Comúnmente, en las etapas iniciales del ataque, Cuba aprovecha el descargador BUGHATCH para establecer una conexión con C2 y luego soltar una carga útil, ejecutar comandos maliciosos o ejecutar archivos armados. En cuanto a Metasploit, los hackers aprovechan este framework de código abierto para obtener acceso inicial al entorno objetivo. Una vez ejecutado, el malware descifra y ejecuta un código de shell que lleva a la ejecución de una carga útil.
Cuba aprovecha técnicas de adversario para evadir la detección, a saber, la técnica de Traer su Propio Controlador Vulnerable/ Traer su Propio Controlador (BYOVD). También se observó a los hackers utilizando la nefasta vulnerabilidad Zerologon Traer su Propio Controlador Vulnerable / Traer su Propio Controlador (BYOVD) técnica. También, se observó a los hackers armando la nefasta vulnerabilidad Zerologon y la vulnerabilidad CVE-2023-27532, esta última también explotada por el grupo Fin7 en la primavera de 2023.
El conjunto de herramientas del adversario del grupo de ransomware Cuba también incluye un conjunto de utilidades integradas como ping.exe usado para descubrimiento y cmd.exe para moverse lateralmente a través del entorno comprometido, mientras que Cobalt Strike Beacon se ha utilizado para la escalada de privilegios y la comunicación C2.
Los defensores cibernéticos recomiendan aplicar soluciones confiables de pasarela de correo electrónico y respaldo de datos, implementar autenticación multifactorial y mantener constantemente actualizado el software a través de las mejores prácticas de gestión de parches para remediar oportunamente las amenazas de ransomware Cuba.
Con los mantenedores de ransomware Cuba reactivando su actividad en el ámbito de amenazas cibernéticas, las organizaciones progresivas están luchando por detectar proactivamente los ataques de ransomware y asegurar su resiliencia cibernética a futuro. Aprovecha Uncoder AI para optimizar la correspondencia IOC, mejorar la calidad del código de detección e instantáneamente traducir tus reglas Sigma a 44 formatos de lenguaje SIEM, EDR y XDR mientras evitas la dependencia de proveedores.