Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Redazione RHC : 25 Febbraio 2022 08:50
Gli operatori del ransomware Cuba sfruttano le vulnerabilità di Microsoft Exchange per ottenere l’accesso iniziale alle reti aziendali e crittografare i dispositivi. La società di sicurezza Mandiant sta tracciando il gruppo di ransomware chiamato UNC2596 e il ransomware stesso viene tracciato come COLDDRAW (noto anche come Cuba).
I criminali informatici prendono di mira principalmente i dispositivi Microsoft Exchange negli Stati Uniti e in Canada. Da agosto 2021 gli hacker utilizzano le vulnerabilità ProxyShell e ProxyLogon in Microsoft Exchange per distribuire shell Web, Trojan di accesso remoto e backdoor.
Le backdoor includono i beacon Cobalt Strike e lo strumento di accesso remoto NetSupport Manager, ma il gruppo utilizza anche i propri strumenti, Bughatch, Wedgecu, eck.exe e Burntcigar.
Sei un Esperto di Formazione?
Entra anche tu nel Partner program! Accedi alla sezione riservata ai Creator sulla nostra Academy e scopri i vantaggi riservati ai membri del Partner program.
Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
Wedgecut si presenta come un eseguibile denominato check.exe, che è uno strumento di ricognizione per elencare Active Directory tramite PowerShell. Bughatch è un charger che estrae gli script e i file di PowerShell dal C&C. Il malware viene caricato in memoria da un URL remoto per evitare il rilevamento.
Burntcigar è un’utilità in grado di uccidere i processi a livello di kernel sfruttando una vulnerabilità nel driver Avast.
Gli aggressori aumentano i privilegi utilizzando le credenziali rubate ottenute utilizzando gli strumenti Mimikatz e Wicker prontamente disponibili. Quindi esplorano la rete utilizzando Wedgecut e navigano nella rete utilizzando RDP, SMB, PsExec e Cobalt Strike.
RedazioneNelle ultime ore, un’ondata massiccia di defacement ha preso di mira almeno una quindicina di siti web italiani. L’attacco è stato rivendicato dal threat actor xNot_RespondinGx (tea...
Nel mezzo degli intensi combattimenti tra Iran e Israele, il cyberspazio è stato coinvolto in una nuova fase di conflitto. Con il lancio dell’operazione israeliana Rising Lion, mirata all&...
