Cuba ransomware banden (der ikke har noget med Cuba at gøre) udnytter Microsoft Exchange sårbarheder for at få fuld adgang til virksomhedens netværk. Dernæst krypteres udvalgte mapper, dokumenttyper eller diskenheder.
Der er Cybersikkerhedsfirmaet Mandiant der nu har sporet ransomware banden som UNC2596, COLDDRAW og CUBA.
“FBI har identificeret, som i begyndelsen af november 2021, at Cuba ransomware aktører har kompromitteret mindst 49 enheder i fem kritiske infrastruktur sektorer, herunder men ikke begrænset til finansielle, regeringen, sundhedspleje, fremstilling og informationsteknologi sektorer,”
“Cuba ransomware aktører har krævet mindst US $74 millioner og modtaget mindst US $43.9 millioner i løsesum betalinger,”
siger FBI
- Dette blev afsløret i en flash alarm udstedt i samarbejde med Cybersecurity and Infrastructure Security Agency (CISA) og fokuserede på at del-indikatorer for kompromitteret forbundet med Cuba ransomware.
- Cuba er en ransomware operation, der blev lanceret i slutningen af 2019, og mens de startede langsomt, begyndte de at tage fart i 2020 og 2021.
- Denne stigning i aktiviteten førte til at FBI udstedte advarsler i december 2021. Her havde banden hacket 49 kritiske infrastruktur organisationer i USA.
- I en ny rapport fra Mandiant forskerne, siges at Cuba-operationen primært er rettet mod USA, efterfulgt af Canada.
Blanding af vare og brugerdefineret malware
Selve Cuba ransomwaren kan udnytte Microsoft Exchange sårbarheder til at implementere web skaller, RATs, og bagdøre til at etablere deres fodfæste på målet nettet i hvert fald siden august 2021.
“Mandiant har også identificeret udnyttelsen af Microsoft Exchange sårbarheder, herunder ProxyShell og ProxyLogon, som et andet adgangspunkt gearede af UNC2596 sandsynligvis så tidligt som i august 2021,”
forklarer Mandiant i en ny rapport.
- De installerede bagdøre omfatter Cobalt Strike eller NetSupport Manager remote access-værktøjet, men gruppen bruger også deres egne ‘Bughatch’, ‘Wedgecut’ og ‘eck.exe’ og Burntcigar’-værktøjer.
- Wedgecut kommer i form af en eksekverbar med navnet “check.exe”, som er et rekognosceringsværktøj, der optæller Active Directory via PowerShell.
- Bughatch er en downloader, der henter PowerShell scripts og filer fra C &C-serveren. For at undgå registrering indlæses den i hukommelsen fra en fjern-URL-adresse.
- Burntcigar er et værktøj, der kan afslutte processer på kerneniveau ved at udnytte en fejl i en Avast-driver, som er inkluderet i værktøjet til at installere dine helt egne systemer og er dermed designet til andre hacker grupper.
- Endelig er der en hukommelse-only dropper, der er kaldet Termite. Dette værktøj er imidlertid blevet observeret i kampagner af flere andre trusselsgrupper, så det bruges ikke udelukkende af Cuba-trusselsaktørerne.
Trusselsaktører eskalerer privilegier ved hjælp af stjålne kontooplysninger indkøbt gennem de let tilgængelige Mimikatz og Wicker værktøjer.
Derefter udfører de netværksrekognoscering med Wedgecut, og derefter bevæger de sig sideværts med RDP, SMB, PsExec og Cobalt Strike.
Den efterfølgende implementering er Bughatch indlæst af Termite, efterfulgt af Burntcigar, som lægger grunden til dataudsivning og filkryptering ved at deaktivere sikkerhedsværktøjer. Windows Defender kan deaktiveres ved at tilføje undtagelser
Cuba-banden bruger ingen cloud-tjenester til udsivningstrinnet, men sender i stedet alt på deres egen private infrastruktur.
En operation under udvikling
Tilbage i maj 2021, Cuba ransomware indgået samarbejde med spamoperatører af Hancitor malware for at få adgang til virksomhedens netværk gennem DocuSign phishing e-mails.
Siden da har Cuba udviklet sine operationer til at målrette offentlige tjenester sårbarheder, næsten kun målrettet Microsoft Exchange sårbarheder.
Dette skift gør angrebene mere potente, men også lettere at forpurre, da sikkerhedsopdateringer, der tilslutter de udnyttede problemer, har været tilgængelige i mange måneder nu.
Cuba-operationen vil sandsynligvis vende sin opmærksomhed mod andre sårbarheder, når der ikke er flere værdifulde mål, men efterhånden kommer der jo løbende nye sårbarheder, næsten ugentligt for store sikkerhedshuller.
Cuba ransomware leveret via Hancitor
Cuba ransomware der benytter Hancitor malware downloaderen er meget udbredt. Den gør det muligt for ransomware bande at få lettere adgang til tidligere kompromitterede virksomhedsnetværk.
Hancitor (Chancitor) er kendt for at levere loginstjælere, Remote Access Trojans (RATs), og andre typer af ransomware.
Zscaler opdagede distribuere Vawtrak infotyve trojaner. Siden da skiftede de til password-stealers, herunder Pony og Ficker, og for nylig Cobalt Strike.
Hancitor er mest kendt for at bruge phishing-e-mails og stjålne legitimationsoplysninger til det første kompromis mellem deres ofres systemer, dernæst udnyttes Microsoft Exchange-sårbarheder eller indbrud via RDP-værktøjer (Remote Desktop Protocol).
Kilde: FBI, CISA og Mandiant
Fotokredit: Mandiant Sikkerhedsfirma