Detectar Infecções do Grupo de Ameaça Cuba Ransomware: Novas Ferramentas Aplicadas em Ataques Contra Organizações de Infraestrutura Crítica nos EUA
Índice:
Ativos desde 2019, os operadores do ransomware Cuba evoluem constantemente seus métodos de ataque e parecem não parar com isso. As operações maliciosas mais recentes contra organizações nos EUA e na América Latina dependem da combinação de novas e antigas ferramentas. Em particular, os mantenedores do Cuba adicionaram uma exploração do Veeam (CVE-2023-27532) ao seu kit de ferramentas ofensivas para obter dados sensíveis dos usuários alvo.
Detectar ataques do grupo de ransomware Cuba
Com TTPS mais sofisticadas adicionadas ao cenário de ransomware, praticantes de cibersegurança se esforçam para superar os adversários e detectar possíveis intrusões nas etapas mais iniciais. A Plataforma SOC Prime para defesa cibernética coletiva cura um conjunto de regras Sigma relevantes para ajudar os atores de segurança a detectar proativamente as cadeias de ataque do ransomware Cuba em constante evolução. Todos os algoritmos de detecção são compatíveis com os principais formatos SIEM, EDR, XDR e Data Lake ao mesmo tempo que são mapeados para MITRE ATT&CK v12.
Clique no botão Explorar Detecções abaixo para obter toda a pilha de direções enriquecida com metadados contextuais, incluindo referências ATT&CK e links CTI.
Análise do Ataque de Ransomware Cuba
Os operadores do ransomware Cuba estão realizando operações maliciosas há mais de quatro anos, tornando-se um desafio difícil para os defensores. Em 2021, os hackers distribuíram malware SystemBC juntamente com outros afiliados RaaS nefários, incluindo malware along with other nefarious RaaS affiliates, including DarkSide and Ryuk. Em 2022, o grupo ressurgiu, alavancando novos TTPs e um conjunto de ferramentas de adversários mais sofisticado, como o ROMCOM RAT, e abusando da infame falha ZeroLogon, CVE-2020-1472. Em outubro de 2022, o coletivo de hackers, também rastreado como Tropical Scorpius, foi vinculado a uma grande campanha de phishing contra órgãos estatais ucranianos, utilizando um anexo de isca e espalhando o backdoor ROMCOM.
Os operadores do ransomware Cuba, supostamente ligados às forças ofensivas russas, frequentemente experimentam diferentes amostras de malware e ferramentas ofensivas. A análise de código também apoiou a teoria da origem russa do grupo.
Em 2023, adversários foram observados por trás de uma série de intrusões sofisticadas que visam empresas em múltiplos setores industriais. A equipe da BlackBerry emitiu recentemente uma pesquisa cobrindo a campanha de junho dos mantenedores do Cuba, na qual adversários visam organizações nos EUA e na América Latina. Os hackers empregam ferramentas que se provaram bem-sucedidas em campanhas adversárias anteriores e aproveitam capacidades ofensivas novas. Nos ataques mais recentes, o grupo de ameaças Cuba tenta explorar a CVE-2023-27532, uma falha no componente Veeam Backup & Replication. As tentativas de exploração bem-sucedidas permitem aos atacantes acessar os hosts da infraestrutura de backup.
A investigação por pesquisadores da BlackBerry sobre os ataques cibernéticos mais recentes do grupo mencionado acima revelou o uso de BUGHATCH e BURNTCIGAR pelos adversários, Metasploit, e Cobalt Strike além de múltiplos LOLBINS com algumas amostras de código de exploração PoC disponíveis publicamente.
Semelhante a múltiplos mantenedores de ransomware, Cuba aplica dupla extorsão, permitindo aos adversários exfiltrarem dados sensíveis dos usuários comprometidos, além de criptografá-los enquanto force vítimas a pagar o resgate. No outono de 2023, a CISA e o FBI lançaram um aviso conjunto de segurança cibernética notificando os defensores sobre as ameaças crescentes relacionadas à atividade adversária do grupo Cuba e voltadas a ajudar as organizações a otimizar seus riscos de segurança cibernética.
Cuba tem aplicado TTPs similares durante toda a sua atividade na arena de ameaças cibernéticas, atualizando-as levemente em 2023. Em um dos ataques mais recentes visando a organização nos EUA, adversários aplicaram uma técnica de reutilização de credenciais. Anteriormente, eles fizeram tentativas bem-sucedidas de explorar falhas de segurança ou Corretores de Acesso Inicial (IABs) para manter o acesso aos sistemas alvo.
Comumente, nas etapas iniciais do ataque, Cuba utiliza o BUGHATCH downloader para estabelecer uma conexão com o C2 e, em seguida, enviar uma carga, executar comandos maliciosos ou executar arquivos armados. No caso de Metasploit, hackers aproveitam este framework de código aberto para ganhar acesso inicial ao ambiente alvo. Uma vez executado, o malware descriptografa e executa um código shell que leva à execução de uma carga.
Cuba aproveita técnicas adversárias para evadir a detecção, nomeadamente a técnica Traga Seu Próprio Driver Vulnerável / Traga Seu Próprio Driver (BYOVD). Além disso, hackers foram observados armando a nefasta vulnerabilidade Zerologon e a falha CVE-2023-27532, esta última também explorada pelo grupo Fin7 na primavera de 2023.
O conjunto de ferramentas adversárias do grupo de ransomware Cuba também inclui um conjunto de utilitários incorporados como ping.exe usado para descoberta e cmd.exe para movimentação lateral no ambiente comprometido, enquanto o Cobalt Strike Beacon tem sido utilizado para escalada de privilégios e comunicação C2.
Os defensores cibernéticos recomendam aplicar soluções confiáveis de gateway de e-mail e backup de dados, implementar autenticação multifator e manter constantemente o software atualizado através das melhores práticas de gerenciamento de patches para remediar continuamente as ameaças do ransomware Cuba.
Com os mantenedores do ransomware Cuba reativando sua atividade na arena de ameaças cibernéticas, organizações progressivas estão se esforçando para detectar proativamente ataques de ransomware e se preparar para uma resiliência cibernética futura. Aproveite Uncoder AI para agilizar a correspondência de IOC, melhorar a qualidade do código de detecção e traduzir instantaneamente suas regras Sigma para 44 formatos de linguagem SIEM, EDR e XDR, evitando o bloqueio de fornecedores.