Détecter les infections du groupe de menace Cuba Ransomware : Nouveaux outils appliqués dans les attaques contre les organisations d’infrastructure critique aux États-Unis.

Actif depuis 2019, les opérateurs du ransomware Cuba évoluent constamment dans leurs méthodes d’attaque et semblent ne pas s’arrêter là. Les opérations malveillantes les plus récentes contre des organisations aux États-Unis et en Amérique latine reposent sur la combinaison d’outils nouveaux et anciens. Particulièrement, les mainteneurs de Cuba ont ajouté une exploitation Veeam (CVE-2023-27532) à leur trousse d’outils offensifs pour obtenir des données sensibles des utilisateurs ciblés.

Détecter les attaques du groupe de ransomware Cuba

Avec des TTPs plus sophistiqués ajoutés au paysage des ransomwares, les praticiens de la cybersécurité s’efforcent de dépasser les adversaires et de détecter d’éventuelles intrusions dès les premières étapes. La plateforme SOC Prime pour la défense cyber collective propose un ensemble de règles Sigma pertinentes pour aider les acteurs de la sécurité à détecter de manière proactive les chaînes d’attaques du ransomware Cuba en constante évolution. Tous les algorithmes de détection sont compatibles avec les principaux formats SIEM, EDR, XDR et Data Lake tout en étant mappés à MITRE ATT&CK v12.

Cliquez sur le Explorer les détections bouton ci-dessous pour obtenir l’ensemble complet de mises à jour enrichi de métadonnées contextuelles, y compris des références ATT&CK et des liens CTI.

Explorer les détections

Analyse d’attaque du ransomware Cuba

Les opérateurs du ransomware Cuba mènent des opérations malveillantes depuis plus de quatre ans, devenant un casse-tête pour les défenseurs. En 2021, les hackers ont distribué le malware SystemBC avec d’autres partenaires RaaS néfastes, y compris DarkSide and etet . En 2022, le groupe a réémergé, utilisant de nouveaux TTPs et un outil d’adversaire plus sophistiqué, tel que ROMCOM RAT, et abusant de la célèbre vulnérabilité ZeroLogon,. En 2022, le groupe a réémergé, utilisant de nouveaux TTPs et un outil d’adversaire plus sophistiqué, tel que ROMCOM RAT, et abusant de la célèbre vulnérabilité ZeroLogon, . En octobre 2022, le collectif de hackers, également suivi sous le nom de Tropical Scorpius, a été lié à une vaste campagne de phishing contre des organismes étatiques ukrainiens utilisant une pièce jointe leurre et répandant la porte dérobée.

ROMCOM

Les opérateurs du ransomware Cuba, prétendument liés aux forces offensives russes, expérimentent fréquemment différents échantillons de malware et outils offensifs. L’analyse de code a également soutenu la théorie de l’origine russe du groupe. En 2023, les adversaires ont été observés derrière une série d’intrusions sophistiquées ciblant des entreprises dans plusieurs secteurs industriels. L’équipe de BlackBerry a récemment publié une recherche

couvrant la campagne de juin menée par les mainteneurs de Cuba, où les adversaires ciblent des organisations aux États-Unis et en Amérique latine. Les hackers emploient des outils qui ont fait leurs preuves dans des campagnes adversaires antérieures, en profitant également des capacités offensives nouvelles. Dans les dernières attaques, le groupe menaçant Cuba tente d’exploiter le CVE-2023-27532, une faille dans le composant Veeam Backup & Replication. Les tentatives d’exploitation réussies permettent aux attaquants d’accéder aux hôtes de l’infrastructure de sauvegarde. L’enquête menée par les chercheurs de BlackBerry sur les cyberattaques récentes par le groupe mentionné ci-dessus a révélé l’utilisation par l’adversaire de BUGHATCH et BURNTCIGAR,L’enquête menée par les chercheurs de BlackBerry sur les cyberattaques récentes par le groupe mentionné ci-dessus a révélé l’utilisation par l’adversaire de BUGHATCH et BURNTCIGAR, , et , et en plus de multiples en plus de multiples

avec certains échantillons de code d’exploitation PoC disponibles publiquement. Similar to multiple exploit codes available publicly, De manière similaire à de nombreux mainteneurs de ransomwares, Cuba applique la double extorsion, permettant aux adversaires d’exfiltrer les données sensibles des utilisateurs compromis tout en les chiffrant, forçant ainsi les victimes à payer une rançon. À l’automne 2023, le CISA et le FBI ont publié un avis conjoint de cybersécurité

informant les défenseurs des menaces croissantes liées à l’activité adverse du groupe Cuba et visant à aider les organisations à optimiser leur posture cybersécuritaire.

Cuba a appliqué des TTPs similaires tout au long de leur activité dans l’arène des menaces cybernétiques, les mettant légèrement à jour en 2023. Dans une des attaques les plus récentes visant une organisation américaine, les adversaires ont appliqué une technique de réutilisation d’identifiants. Plus tôt, ils ont réussi à exploiter des failles de sécurité ou des BlackBerry Initial Access Brokers (IABs) pour maintenir l’accès aux systèmes ciblés. L’enquête menée par les chercheurs de BlackBerry sur les cyberattaques récentes par le groupe mentionné ci-dessus a révélé l’utilisation par l’adversaire de BUGHATCH et BURNTCIGAR,Communément, lors des premières étapes d’une attaque, Cuba utilise le téléchargeur BUGHATCH pour établir une connexion avec le C2 et déployer ensuite une charge utile, exécuter des commandes malveillantes ou exécuter des fichiers armés. Quant à

, les hackers utilisent ce framework open-source pour obtenir un accès initial à l’environnement ciblé. Une fois exécuté, le malware déchiffre et exécute un code shell qui mène à l’exécution d’une charge utile. Cuba profite des techniques adversaires pour échapper à la détection, à savoir la Cuba profite des techniques adversaires pour échapper à la détection, à savoir la / technique du pilote vulnérable BYOD. De plus, les hackers ont été observés en train d’armer la vulnérabilité néfaste ZeroLogon et la faille CVE-2023-27532, cette dernière également exploitée par le groupe Fin7

au printemps 2023. La trousse à outils des adversaires du groupe Cuba comprend également un ensemble d’utilitaires intégrés comme La trousse à outils des adversaires du groupe Cuba comprend également un ensemble d’utilitaires intégrés comme utilisé pour la découverte et utilisé pour la découverte et pour se déplacer latéralement à travers l’environnement compromis, tandis que le pour se déplacer latéralement à travers l’environnement compromis, tandis que le

a été utilisé pour l’escalade de privilèges et la communication C2.

Les défenseurs du cyberespace recommandent d’appliquer des solutions de passerelle de messagerie électronique et de sauvegarde de données fiables, de mettre en œuvre l’authentification multi-facteurs et de maintenir constamment à jour les logiciels grâce aux meilleures pratiques de gestion des correctifs pour remédier en temps opportun aux menaces de ransomware Cuba. Avec les mainteneurs du ransomware Cuba ravivant leur activité dans l’arène des menaces cybernétiques, les organisations progressistes s’efforcent de détecter proactivement les attaques de ransomware et de sécuriser la résilience cyber future. Utilisez pour rationaliser la correspondance des IOC, améliorer la qualité du code de détection et traduire instantanément vos règles Sigma en 44 formats de langage SIEM, EDR et XDR tout en évitant l’enfermement chez un fournisseur.