Rilevare le Infezioni del Gruppo di Minaccia Ransomware Cuba: Nuovi Strumenti Applicati in Attacchi Contro Organizzazioni di Infrastrutture Critiche negli USA.
Indice:
Essendo attivi dal 2019, gli operatori del ransomware Cuba evolvono costantemente i loro metodi di attacco e sembrano non fermarsi. Le operazioni malevole più recenti contro organizzazioni negli Stati Uniti e in America Latina si basano sulla combinazione di strumenti nuovi e vecchi. In particolare, i manutentori del Cuba hanno aggiunto un exploit Veeam (CVE-2023-27532) al loro kit offensivo per ottenere dati sensibili dagli utenti presi di mira.
Rilevare gli attacchi del gruppo Cuba Ransomware
Con TTP più sofisticati aggiunti al panorama dei ransomware, i professionisti della cybersicurezza cercano di superare gli avversari e rilevare possibili intrusioni nelle fasi iniziali. La piattaforma SOC Prime per la difesa cibernetica collettiva cura un insieme di regole Sigma rilevanti per aiutare gli operatori di sicurezza a rilevare proattivamente le catene di attacco del ransomware Cuba in continua evoluzione. Tutti gli algoritmi di rilevamento sono compatibili con i formati principali di SIEM, EDR, XDR e Data Lake, mentre vengono mappati su MITRE ATT&CK v12.
Premi il pulsante Esplora rilevamenti qui sotto per ottenere l’intero stack di direzioni arricchito con metadati contestuali, inclusi riferimenti ATT&CK e link CTI.
Analisi degli attacchi del ransomware Cuba
Gli operatori del ransomware Cuba hanno eseguito operazioni malevoli per oltre quattro anni, diventando una dura sfida per i difensori. Nel 2021, gli hacker hanno distribuito il malware SystemBC insieme ad altri affiliati RaaS nefasti, inclusi DarkSide and Ryuk. Nel 2022, il gruppo è riemerso, sfruttando nuovi TTP e un toolkit avversario più sofisticato, come ROMCOM RAT, e abusando della famigerata falla ZeroLogon, CVE-2020-1472. In ottobre 2022, il collettivo di hacker, noto anche come Tropical Scorpius, è stato collegato a una massiccia campagna di phishing contro enti statali ucraini, sfruttando un allegato esca e diffondendo il ROMCOM backdoor.
Gli operatori del ransomware Cuba, presumibilmente collegati alle forze offensive russe, sperimentano frequentemente diversi campioni di malware e strumenti offensivi. L’analisi del codice ha inoltre supportato la teoria sulle origini russe del gruppo.
Nel 2023, gli avversari sono stati osservati dietro una serie di intrusioni sofisticate che prendono di mira aziende in diversi settori industriali. Il team BlackBerry ha recentemente pubblicato una ricerca sulla campagna di giugno da parte dei manutentori del Cuba, in cui gli avversari prendono di mira organizzazioni negli Stati Uniti e in America Latina. Gli hacker impiegano strumenti che si sono dimostrati efficaci in campagne avversarie precedenti, oltre a sfruttare nuove capacità offensive. Negli attacchi più recenti, il gruppo minaccioso Cuba tenta di sfruttare CVE-2023-27532, una falla nel componente Veeam Backup & Replication. I tentativi di sfruttamento riusciti consentono agli aggressori di accedere agli host dell’infrastruttura di backup.
L’indagine dei ricercatori BlackBerry sugli attacchi informatici più recenti del gruppo sopra menzionato ha rivelato l’uso da parte dell’avversario di BUGHATCH e BURNTCIGAR, Metasploit, e Cobalt Strike oltre a diversi LOLBINS con alcuni campioni di codice exploit PoC disponibili pubblicamente.
Simile a molti manutentori di ransomware, Cuba applica la doppia estorsione che consente agli avversari di esfiltrare i dati sensibili degli utenti compromessi assieme a criptarli, mentre costringe le vittime a pagare un riscatto. Nell’autunno del 2023, CISA e FBI hanno rilasciato un avviso congiunto di cybersicurezza notificando i difensori delle crescenti minacce relative all’attività avversaria del gruppo Cuba e mirato ad aiutare le organizzazioni a ottimizzare il rischio della loro postura di cybersicurezza.
Cuba ha applicato TTP simili durante tutta la loro attività nell’arena delle minacce informatiche, aggiornandoli leggermente nel 2023. In uno degli attacchi più recenti che ha preso di mira un’organizzazione statunitense, gli avversari hanno applicato una tecnica di riutilizzo delle credenziali. In precedenza, hanno fatto tentativi di successo per sfruttare lacune di sicurezza o Initial Access Brokers (IABs) per mantenere l’accesso ai sistemi bersaglio.
Di solito, nelle fasi iniziali dell’attacco, Cuba utilizza il downloader BUGHATCH per stabilire una connessione con il C2 e successivamente scaricare un payload, eseguire comandi malevoli o eseguire file armati. Per quanto riguarda Metasploit, gli hacker sfruttano questo framework open-source per ottenere accesso iniziale all’ambiente bersaglio. Una volta eseguito, il malware decifra ed esegue un codice shell che porta all’esecuzione di un payload.
Cuba sfrutta le tecniche avversarie per eludere il rilevamento, in particolare la tecnica Bring Your Own Vulnerable Driver / Bring Your Own Driver (BYOVD). Inoltre, gli hacker sono stati osservati mentre armavano la nefasta vulnerabilità Zerologon e la falla CVE-2023-27532, quest’ultima sfruttata anche dal gruppo Fin7 nella primavera del 2023.
Il toolkit avversario del gruppo ransomware Cuba include anche un insieme di utility integrate come ping.exe usato per la scoperta e cmd.exe per lo spostamento laterale attraverso l’ambiente compromesso, mentre il Cobalt Strike Beacon è stato utilizzato per l’escalation dei privilegi e la comunicazione C2.
I difensori cibernetici raccomandano di applicare soluzioni affidabili di gateway email e backup dei dati, implementare l’autenticazione multifattoriale e mantenere costantemente aggiornato il software mediante le migliori pratiche di gestione delle patch per mitigare tempestivamente le minacce del ransomware Cuba.
Con i manutentori del ransomware Cuba che riprendono la loro attività nell’arena delle minacce informatiche, le organizzazioni progressiste si sforzano di rilevare in modo proattivo gli attacchi ransomware e rafforzare la resilienza informatica. Utilizza Uncoder AI per ottimizzare il matching IOC, migliorare la qualità del codice di rilevamento e tradurre istantaneamente le tue regole Sigma in 44 formati di linguaggio SIEM, EDR e XDR evitando lo lock-in del fornitore.