Ekspertët e BlackBerry Threat Research kanë zbuluar sulme të reja ransomware të kryera nga grupi Kuba (që pavarësisht emrit janë rusë). Kriminelët kibernetikë kanë shfrytëzuar dobësitë e softuerit së bashku me mjetet e vjetra dhe të reja për të synuar kompanitë që menaxhojnë infrastrukturën kritike në Shtetet e Bashkuara dhe kompanitë e IT në Amerikën Latine.
Teknikat, taktikat dhe procedurat e grupit të Kubës
Hyrja fillestare bëhet nëpërmjet kredencialeve të vjedhura të administratorit nëpërmjet Protokollit të Desktopit në distancë (RDP). Më pas, vendoset BUGHATCH, një shkarkues që lidhet me serverin C2 (komandë dhe kontroll) dhe shkarkon ngarkesa të ndryshme (në këtë rast katër DLL). Kriminelët kibernetikë përdorin gjithashtu teknikën Metasploit, Wedgecut dhe Bring Your Own Vulnerable Driver (BYOVD) për të çaktivizuar zgjidhjet e sigurisë.
Mjeti BURNTCIGAR vret më shumë se 200 procese të nivelit të kernelit, veçanërisht ato që lidhen me produktet e sigurisë. Dy dobësi janë shfrytëzuar gjithashtu gjatë fushatës së fundit. E para (CVE-2020-1472), e njohur si Zerologon dhe e pranishme në protokollin NetLogon të Microsoft, ju lejon të merrni privilegje të ngritura në kontrollorët e domenit Active Directory.
E dyta (CVE-2023-27532), e pranishme në softuerin rezervë Veeam, ju lejon të vidhni kredencialet e ruajtura në skedarët e konfigurimit. Grupi Kuba përdor gjithashtu beacons Cobalt Strike dhe Binarë të ndryshëm Living-off-the-Land (LOLBINS), pra shërbimet e ofruara nga Windows, kryesisht ato që lejojnë skanimin e rrjetit lokal.
Qëllimi përfundimtar është të instaloni ransomware-in homonim dhe të kërkoni shpërblim duke kërcënuar për publikimin e të dhënave (zhvatje të dyfishtë). Grupi ka qenë aktiv për të paktën katër vjet. Sipas autoriteteve amerikane, janë goditur më shumë se 100 kompani, nga të cilat kriminelët kibernetikë kanë marrë më shumë se 60 milionë dollarë. Për të zvogëluar rrezikun, duhet të instaloni të gjitha përditësimet e softuerit.
Discussion about this post