Küba Ransomware işlemi, kurumsal ağlara ilk erişimi kazanmak ve cihazları şifrelemek için Microsoft Exchange güvenlik açıklarından yararlanır.
Siber Güvenlik Firması Mandiant, Ransomware çetesini ANC2596 olarak ve fidye yazılımının kendisini Colddraw olarak izler. Bununla birlikte, fidye yazılımı daha yaygın olarak Küba olarak bilinir, bu da BleepingComputer'ın bu makalede onlara referans vereceğidir.
Küba, 2019'un sonunda başlatılan bir fidye yazılımı operasyonudur ve yavaşlarken, 2020 ve 2021'de hızlandırmaya başladılar. Aktivitedeki bu artış, 2021 Aralık'ta bir Küba Ransomware danışmanlığı veren FBI'ye yol açtı. Gang, ABD'de 49 kritik altyapı organizasyonunu ihlal etti
Mandiant tarafından yeni bir raporda, araştırmacılar Küba operasyonunun öncelikle Amerika Birleşik Devletleri'ni ve ardından Kanada'yı hedeflediğini gösteriyor.
Küba Ransomware çetesi, Ağustos 2021'den bu yana hedef ağdaki yerlerini belirlemek için Web Kabuklarını, Sıçanları ve Arkado'yu dağıtmak için Microsoft Exchange güvenlik açıklarından yararlanma görüldü.
"Mandiant, Proxyshell ve Proxylogon da dahil olmak üzere Microsoft Exchange güvenlik açıklarının, UNC2596'nın Ağustos 2021'in başlarında olduğu gibi," Ağustos 2021'in başlarında olması muhtemel olan başka bir erişim noktası olarak, "dedi.
Ekili arka kapılar, Kobalt grevi veya NetSupport Manager uzaktan erişim aracını içerir, ancak grup ayrıca kendi 'bugratch', 'Wedgecut' ve 'eck.exe "ve Burntcigar' araçlarını kullanıyor.
Wedgecut, Active Directory'yi PowerShell aracılığıyla numaralandıran bir keşif aracı olan "Check.exe" adlı çalıştırılabilir bir şekilde gelir.
Bughatch, PowerShell komut dosyalarını ve dosyaları C & C sunucusundan getiren bir indiricidir. Tespiti kaçırmak için, uzak bir URL'den belleği yükler.
Burntcigar, "Kendi savunmasız şoförünüzü" saldırısına dahil olan bir avast sürücüsündeki bir kusurdan yararlanarak çekirdek düzeyinde işlemleri sonlandırabilecek bir yardımcı programdır.
Son olarak, yukarıdaki yükleri getiren ve onları termit olarak yüklenen bir hafıza bir damlalık var. Bununla birlikte, bu araç birden fazla tehdit grubu kampanyalarında gözlemlenmiştir, bu nedenle yalnızca Küba tehdidi aktörleri tarafından kullanılmaz.
Tehdit aktörleri, hazır Mimikatz ve Hasır Araçları ile temin edilen çalınan hesap kimlik bilgilerini kullanarak ayrıcalıkları arttırır.
Sonra Wedgecut ile ağ keşifleri gerçekleştirirler ve daha sonra, RDP, SMB, PSEXEC ve Kobalt grevi ile yanal olarak hareket ederler.
Sonraki dağıtım, termit tarafından yüklenen bugratch, ardından yanık, ardından güvenlik araçlarını devre dışı bırakarak veri exfiltrasyon ve dosya şifrelemesi için yer koyan yanmıştır.
Küba çetesi, exfiltration adımı için herhangi bir bulut hizmetini kullanmaz, bunun yerine her şeyi kendi özel altyapılarına gönderir.
Mayıs 2021'de, Küba Ransomware, Docusign Kimlik Avı E-postaları aracılığıyla kurumsal ağlara erişim sağlamak için Avitor Kötü Amaçlı Yazılımın Spam Operatörleri ile ortaklaştı.
O zamandan beri, Küba, Microsoft Exchange Proxyshell ve Proxylogon Güvenlik Açıkları gibi halka bakan hizmetler güvenlik açıklarını hedeflemek için operasyonlarını gelişti.
Bu vardiya saldırılarını daha güçlü hale getirir, aynı zamanda sömürülen sorunları takan güvenlik güncellemeleri, artık birçok ay boyunca kullanılabilir hale geldi.
Küba işlemi, açılmamış Microsoft Exchange sunucuları çalıştıran daha değerli hedefler olmadıktan sonra, diğer güvenlik açıklarına dikkatini gösterecektir.
Bu, mevcut güvenlik güncellemelerini, yazılım satıcıları serbest bırakmaz, en gelişmiş tehdit aktörlerine karşı bile sağlam bir güvenlik duruşunu sürdürmede anahtarıdır.
Microsoft, aktif olarak sömürülen değişim sıfır gün böcekleri düzeltiyor, şimdi yama
BleepingComputer'ın en popüler siber güvenliği ve 2021 teknoloji hikayeleri
Conti Ransomware'in iç sohbetleri Rusya ile oturduktan sonra sızdırılmış
2022 yıl siber suçu odaklanmalarını tüketicilere geri döndürür
Trickbot Kötü Amaçlı Yazılım Çalışması Kapatıldı, Devs Gecikmiş Kötü Amaçlı Yazılımlara Taşınır
Kaynak: Bleeping Computer