Le gang de rançongiciels de Cuba a été observé dans des attaques ciblant des organisations d’infrastructures critiques aux États-Unis et des entreprises informatiques en Amérique latine, en utilisant une combinaison d’anciens et de nouveaux outils.
L’équipe Threat Research and Intelligence de BlackBerry, qui a repéré la dernière campagne début juin 2023, rapporte que Cuba utilise désormais CVE-2023-27532 pour voler les informations d’identification des fichiers de configuration.
La faille particulière affecte les produits Veeam Backup & Replication (VBR), et un exploit est disponible depuis mars 2023.
Auparavant, WithSecure avait signalé que FIN7, un groupe avec plusieurs affiliations confirmées avec diverses opérations de ransomware, exploitait activement CVE-2023-27532.
Détails de l’attaque de Cuba
BlackBerry rapporte que le vecteur d’accès initial de Cuba semble être des informations d’identification d’administrateur compromises via RDP, n’impliquant pas de force brute.
Ensuite, le téléchargeur personnalisé « BugHatch » de Cuba établit la communication avec le serveur C2 et télécharge des fichiers DLL ou exécute des commandes.
Un pied initial sur l’environnement cible est réalisé grâce à un stager DNS Metasploit qui déchiffre et exécute le shellcode directement en mémoire.
Cuba utilise la technique BYOVD (Bring Your Own Vulnerable Driver) désormais répandue pour désactiver les outils de protection des terminaux. En outre, il utilise l’outil ‘BurntCigar’ pour mettre fin aux processus du noyau associés aux produits de sécurité.
Outre la faille Veeam relativement récente, Cuba exploite également CVE-2020-1472 (« Zerologon »), une vulnérabilité du protocole NetLogon de Microsoft, qui leur donne une élévation de privilèges contre les contrôleurs de domaine AD.
Dans la phase de post-exploitation, Cuba a été observé en utilisant des balises Cobalt Strike et divers « lolbins ».
Cuba toujours très active
BlackBerry souligne la motivation financière claire du gang de rançongiciels de Cuba et mentionne que le groupe de menaces est probablement russe, ce qui a été supposé par d’autres rapports de cyber-renseignement dans le passé.
Cette hypothèse est basée sur l’exclusion des ordinateurs qui utilisent une disposition de clavier russe des infections, les pages 404 russes sur certaines parties de son infrastructure, les indices linguistiques et le ciblage occidental du groupe.
En conclusion, Cuba ransomware reste une menace active environ quatre ans après son existence, ce qui n’est pas courant dans les ransomwares.
L’inclusion de CVE-2023-27532 dans le périmètre de ciblage de Cuba rend l’installation rapide des mises à jour de sécurité Veeam extrêmement importante et souligne une fois de plus le risque de retarder les mises à jour lorsque des exploits PoC (preuve de concept) accessibles au public sont disponibles.