A operação de ransomware de Cuba está explorando as vulnerabilidades do Microsoft Exchange para obter acesso inicial a seus dispositivos corporativos e cifradores.
A firma de segurança cibernética Mandiant rastrea a banda de ransomware como UNC2596 y al ransomware en s mismo como COLDDRAW. Sem embargo, o ransomware se conoce comnmente como Cuba, que é como BleepingComputer los mencionar o largo deste artigo.
Cuba é uma operação de ransomware que se lança em multas de 2019 y, aunque comenz lentamente, comenz a acelerarse em 2020 e 2021. Este aumento na atividade llev al FBI a emitir um aviso de ransomware de Cuba em diciembre de 2021, advirtiendo que el pandilla viol 49 organizações de infraestrutura crítica em los EE. UU.
En un nuevo de Mandiant, los investigadores muestran que la operacin se dirige principalmente a Estados Unidos, seguido de Canad.
Cuba ransomware vctimas mapa de calorias
Fonte: Mandiant ndice de contenidos
- Combinação de malware básico e personalizado
- Una operacin en evolucin
Combinação de malware básico e personalizado
Se vio a banda de ransomware Cuba aprovando las vulnerabilidades do Microsoft Exchange para implementar shells web, RAT e puertas traseras para establecer su punto de apoyo no red de agosto de 2021.
"Mandiant tambin identific la explotacin de las vulnerabilidades do Microsoft Exchange, incluindo o ProxyShell y ProxyLogon, como otro ponto de acesso aprovado por UNC2596 provavelmente em agosto de 2021", explica Mandiant em um novo informe.
As portas traseras plantadas incluem Cobalt Strike ou a herramienta de acesso remoto NetSupport Manager, o grupo tambin usa suas propias herramientas 'Bughatch', 'Wedgecut' e 'eck.exe, y Burntcigar'.
corte de cua viene em forma de um executável chamado "check.exe", que é uma herramienta de reconhecimento que enumera Active Directory a travs de PowerShell.
Escotilha é um downloader que obtiene secuencias de comandos e arquivos do PowerShell do servidor C&C. Para evitar a detecção, carregue na memória de uma URL remota.
Cigarro quemado é uma utilidade que pode finalizar os processos no nível do kernel mediante a exploração de uma falha em um driver do Avast, que é incluído com a herramienta para um ataque de "traiga su propio driver vulnerável".
Finalmente, hay un cuentagotas de memoria solo que obtiene as cargas anteriores e a carga, chamada Termite. Sin embargo, esta herramienta se observou em campos de múltiplos grupos de amenazas, por lo que não é utilizado exclusivamente pelos atores de amenazas de Cuba.
Os atores de ameaças escalam os privilégios usando credenciais de cuentas robadas obtidas nas passagens das ferramentas Mimikatz e Wicker, facilmente disponíveis.
Luego, realizou um reconhecimento do vermelho com Wedgecut e, a continuação, pode ser alterado lateralmente com RDP, SMB, PsExec e Cobalt Strike.
El despliegue posterior es Bughatch carregado por Termite, seguido de Burntcigar, que sienta las bases para la exfiltracin de datos y el cifrado de archivos al desactivar las herramientas de seguridad.
La pandilla de Cuba no usa ningn service en la nube para el paso de exfiltracin, sino que enva all a su propia infraestructura privada.
Nota de ransomware de Cuba para las vctimas
Fonte: Mandiant
Una operacin en evolucin
Em maio de 2021, o ransomware Cuba se associou com os operadores de spam do malware Hancitor para obter acesso às redes corporativas a travs dos correos eletrônicos de phishing do DocuSign.
Desde então, Cuba tem evolucionado suas operações para atacar as vulnerabilidades dos serviços públicos, como as vulnerabilidades do Microsoft Exchange ProxyShell y ProxyLogon.
Esta mudança faz com que os ataques sean ms potentes pero tambin ms fciles de frustrar, ya as atualizações de segurança que solucionam os problemas explorados estão disponíveis durante muitos meses.
É provável que a operação de Cuba centrou sua atenção em outras vulnerabilidades uma vez que não tem objetivos valiosos que ejecutem servidores Microsoft Exchange sin parches.
Significa que aplicar as atualizações de segurança disponíveis para os provadores de publicação publique é clave para uma posição de software pronto para garantir segurança, mesmo contra os atores de amenazas como msn seguros seguros.
- Como funciona os auriculares de condução marítima? Son adecuados para usted? – Revisando geek
- Qu significa EUC (excelente condicin de uso) y cmo se usa?
Descobre ms contenido
Que é um amplificador integrado?
Google Pixel Watch também tem detecção de cadas, pero no hasta el prximo ao
Las melhores tazas de caf calentadas de 2022
Cmo automatize seu iPhone segn el tiempo, la actividad ou la ubicacin
"Eso debe haber sido antes de mi tiempo"
Por qu la NASA enva a Snoopy a la Luna? – Revisando geek
O que é o ransomware da colmeia?
O grupo de ransomware Hive opera um portal onde suas vítimas são direcionadas a fazer login usando as credenciais que os invasores deixam em um dos arquivos que deixam para trás após um ataque bem-sucedido . O portal permite um bate-papo direto entre a organização da vítima e os afiliados/administradores do site.
Quem é o grupo Hive Ransomware?
The Hive Gang é um provedor de Ransomware as a Service (RaaS) identificado pela primeira vez em junho de 2021 . Embora relativamente novo, suas táticas agressivas e variantes de malware em constante evolução os tornaram um dos grupos de RaaS mais bem-sucedidos de seu tipo.
O hive com é um vírus?
O Hive é um vírus agressivo de bloqueio de arquivos que criptografa arquivos pessoais como fotos, vídeos, documentos e outros na máquina das vítimas. É devastador se as pessoas afetadas não tiverem backups, pois os arquivos podem desaparecer para sempre. Leia nosso guia para saber como lidar com a ameaça.