Le gang de rançongiciels Cuba a modifié sa stratégie d’attaque pour s’attaquer aux environnements informatiques qui n’ont pas corrigé une vulnérabilité récemment découverte dans les solutions de sauvegarde de Veeam Software.
Habituellement, le gang exploite la vulnérabilité Windows Server Netlogon (CVE-2020-1472) connue sous le nom de Zerologon, vieille de trois ans, a déclaré BlackBerry dans un rapport jeudi. Cependant, une analyse d’une série d’attaques en juin, y compris une organisation d’infrastructure critique aux États-Unis et un intégrateur informatique en Amérique latine, montre que le gang cible désormais également la vulnérabilité Veeam CVE- 2023-27532.
D’autres chercheurs appellent la souche de rançongiciel utilisée par ce gang Colddraw ou Fidel. Le gang est apparu pour la première fois en 2019 et, selon BlackBerry, a constitué une liste relativement restreinte mais soigneusement sélectionnée de victimes dans les années qui ont suivi. En août 2022, le gang avait compromis 101 organisations, dont 65 aux États-Unis.
Sur la base de l’analyse des chaînes du code utilisé dans la campagne la plus récente, BlackBerry a trouvé des indications selon lesquelles le développeur derrière le gang de rançongiciel Cuba est russophone. Cette théorie est encore renforcée, selon le rapport, par le fait que le rançongiciel met automatiquement fin à sa propre exécution sur les hôtes configurés pour la langue russe, ou sur ceux qui ont la disposition du clavier russe présente.
Les spécialistes en sécurité informatique doivent également noter que, dans cette campagne particulière, le gang Cuba s’est en quelque sorte emparé des informations d’identification de l’administrateur d’une organisation. Les attaquants se sont connectés directement via le protocole Remote Desktop Protocol (RDP). Il n’y avait aucune preuve de tentatives de connexion invalides précédentes, ou de preuves de techniques telles que le forçage brutal ou l’exploitation de vulnérabilités. Cela signifie, a conclu BlackBerry, que l’attaquant a probablement obtenu des informations d’identification valides via une autre méthode.
La boîte à outils de Cuba se compose de divers éléments personnalisés et prêts à l’emploi. Il s’agit notamment de ce que BlackBerry appelle BugHatch, un téléchargeur personnalisé léger probablement développé par les membres du gang de rançongiciel Cuba, car il n’a été utilisé que par eux. Il établit une connexion à un serveur de commande et de contrôle et télécharge une charge utile au choix de l’attaquant, généralement de petits fichiers PE ou des scripts PowerShell. BugHatch peut également exécuter des fichiers ou des commandes.
Dans les campagnes précédentes, BugHatch était généralement récupéré et déployé via un injecteur PowerShell ou chargé en mémoire par un script basé sur PowerShell. Dans la campagne la plus récente, quatre DLL distinctes utilisant la bibliothèque Microsoft Foundation Class (MFC) ont été utilisées pour récupérer et charger les charges utiles BugHatch « agent32/64.bin ».
Un autre outil, appelé Wedgecut, est un outil d’énumération d’hôtes qui accepte un argument consistant en une liste d’adresses IP ou d’hôtes, puis utilise des paquets ICMP (Internet Control Message Protocol) pour vérifier s’ils sont en ligne.
Un autre outil, baptisé BurntCigar, met fin à plus de 200 processus, dont beaucoup sont des solutions et des outils anti-maliciel pour terminaux.
Et le gang utilise également la balise Cobalt Strike – ou un clone de celle-ci – pour renvoyer des données au serveur de commande et de contrôle.
Pour se défendre contre cela et d’autres gangs de rançongiciel, les professionnels de la sécurité des TI doivent s’assurer qu’ils disposent d’un programme de gestion des correctifs à jour, d’une solution de passerelle de messagerie pour aider à prévenir les courriels d’hameçonnage qui sont souvent le vecteur d’infection initiale, et ils doivent segmenter les réseaux, suggère BlackBerry.
Adaptation et traduction française par Renaud Larue-Langlois.
