Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Хакеры-вымогатели группы Cuba проводят атаки против критически важной инфраструктуры США

2 мин
Хакерская группировка Cuba, известная проведением атак с использованием программ-вымогателей, в последние месяцы атакует преимущественно организации критически важной инфраструктуры США и IT-компании из Латинской Америки. Об этом сообщило издание Bleeping Computer. Эксперты по информационной безопасности из команды BlackBerry Threat Research and Intelligence обнаружили, что в июне 2023 года хакеры группировки Cuba Ransomware эксплуатировала уязвимость CVE-2023-27532, которая позволяет злоумышленникам извлекать учетные данные из файлов конфигурации продуктов Veeam Backup & Replication (VBR). Ошибка была выявлена в марте 2023 года. По словам специалистов из BlackBerry, первым шагом в атаке группировки Cuba Ransomware является использование украденных административных учетных данных через RDP. Затем хакеры применяют специализированный загрузчик группы под названием BugHatch для установки связи с сервером, загрузки DLL-файлов и выполнения команд. Для обеспечения начального доступа к целево
Изображение: iStrfry , Marcus (unsplash)
Изображение: iStrfry , Marcus (unsplash)

Хакерская группировка Cuba, известная проведением атак с использованием программ-вымогателей, в последние месяцы атакует преимущественно организации критически важной инфраструктуры США и IT-компании из Латинской Америки. Об этом сообщило издание Bleeping Computer.

Эксперты по информационной безопасности из команды BlackBerry Threat Research and Intelligence обнаружили, что в июне 2023 года хакеры группировки Cuba Ransomware эксплуатировала уязвимость CVE-2023-27532, которая позволяет злоумышленникам извлекать учетные данные из файлов конфигурации продуктов Veeam Backup & Replication (VBR). Ошибка была выявлена в марте 2023 года.

По словам специалистов из BlackBerry, первым шагом в атаке группировки Cuba Ransomware является использование украденных административных учетных данных через RDP. Затем хакеры применяют специализированный загрузчик группы под названием BugHatch для установки связи с сервером, загрузки DLL-файлов и выполнения команд. Для обеспечения начального доступа к целевой системе группировка применяет инструмент DNS Metasploit, который расшифровывает и запускает Shell-код прямо из памяти.

В своих кибератаках Cuba Ransomware также использует методику BYOVD (Bring Your Own Vulnerable Driver) для отключения средств защиты конечных точек, а также инструмент BuntCigar для завершения процессов, связанных с продуктами безопасности в целевой системе. Дополнительно группировка эксплуатирует уязвимость CVE-2020-1472, известную как Zerologon, которая представляет собой ошибку в протоколе Microsoft Netlogon, позволяя повышать привилегии против контроллера домена AD.

Основной мотивацией группировки Cuba Ransomware, по мнению экспертов из BlackBerry, является получение финансовой выгоды, потому что после проведения успешных кибератак от жертв требуют перечисление выкупа в биткоинах.

Интересным моментом является предположение BlackBerry о русскоязычном происхождении хакеров группировки Cuba Ransomware, так как заражение целевых систем часто происходит с компьютеров, использующих русскую раскладку клавиатуры. Помимо этого, русскоязычные страницы 404 были замечены в некоторых элементах инфраструктуры группировки. Также хакеры нацелены на компании и учреждений из западных стран.

Актуальные вакансии по ИБ: https://cisoclub.ru/vacancy/. Отправить резюме во все популярные IT-компании: https://cisoclub.ru/jobmail/

Больше интересного материала на cisoclub.ru. Подписывайтесь на нас: VK | Twitter | Rutube | Telegram | Дзен | YouTube.