Una nuova campagna legata al ransomware Cuba si sta rapidamente diffondendo online, sfruttando una strategia complessa e articolata.
Secondo gli esperti del team Threat Research and Intelligence di BlackBerry, questa operazione sta coinvolgendo infrastrutture critiche nel territorio americano, prediligendo invece aziende IT in Sud America. Nonostante al momento non siano stati registrati casi in Europa, non è detto che questa campagna sposti le sue mire sul vecchio continente in un prossimo futuro.
L’operazione, individuata nel corso di giugno 2023, va a sfruttare una falla di sicurezza individuata tre mesi prima sui prodotti Veeam Backup & Replication (nome in codice CVE-2023-27532). La vulnerabilità, tra le altre cose, è già stata sfruttata da un gruppo di cybercriminali.
WithSecure, infatti, ha riferito che FIN7 (altro gruppo legato all’ambiente ransomware), ha sfruttato attivamente CVE-2023-27532 per i propri scopi illeciti.
Come funziona la nuova tattica di diffusione del ransomware Cuba
Per la diffusione del ransomware Cuba, il vettore di accesso principale utilizzato è una compromissione delle credenziali di amministratore tramite RDP.
Una volta ottenuto un primo accesso, viene caricato sulla macchina compromessa un downloader, creato dal gruppo stesso, che viene chiamato BugHatch. Questo va a stabilire una comunicazione con il server di comando, scaricando ulteriori file DLL ed eseguendo i comandi del caso.
Per portare a buon fine l’attacco, Cuba adotta l’ormai diffusa tecnica BYOVD (Bring Your Own Vulnerable Driver) per disattivare gli strumenti di protezione degli endpoint. Inoltre, utilizza lo strumento noto come BurntCigar al fine di terminare i processi del kernel legati al contesto di sicurezza e protezione della macchina.
La gang di cybercriminali di cui stiamo parlando, secondo alcune indagini, sarebbe originaria della Russa. Questa deduzione è tratta dal fatto che, i loro attacchi ransomware, andrebbero ad escludere i dispositivi che utilizzano un layout di tastiera in lingua russa. Il gruppo, presente sulla scena da quattro anni, risulta ad oggi uno dei più attivi dell’intero settore.