Gli operatori del ransomware Cuba sfruttano le vulnerabilità di Microsoft Exchange per ottenere l’accesso iniziale alle reti aziendali e crittografare i dispositivi. La società di sicurezza Mandiant sta tracciando il gruppo di ransomware chiamato UNC2596 e il ransomware stesso viene tracciato come COLDDRAW (noto anche come Cuba).
I criminali informatici prendono di mira principalmente i dispositivi Microsoft Exchange negli Stati Uniti e in Canada. Da agosto 2021 gli hacker utilizzano le vulnerabilità ProxyShell e ProxyLogon in Microsoft Exchange per distribuire shell Web, Trojan di accesso remoto e backdoor.
Le backdoor includono i beacon Cobalt Strike e lo strumento di accesso remoto NetSupport Manager, ma il gruppo utilizza anche i propri strumenti, Bughatch, Wedgecu, eck.exe e Burntcigar.
Wedgecut si presenta come un eseguibile denominato check.exe, che è uno strumento di ricognizione per elencare Active Directory tramite PowerShell. Bughatch è un charger che estrae gli script e i file di PowerShell dal C&C. Il malware viene caricato in memoria da un URL remoto per evitare il rilevamento.
Burntcigar è un’utilità in grado di uccidere i processi a livello di kernel sfruttando una vulnerabilità nel driver Avast.
Gli aggressori aumentano i privilegi utilizzando le credenziali rubate ottenute utilizzando gli strumenti Mimikatz e Wicker prontamente disponibili. Quindi esplorano la rete utilizzando Wedgecut e navigano nella rete utilizzando RDP, SMB, PsExec e Cobalt Strike.
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull’informatica in generale.
