Cuba Ransomware exploite une faille dans Veeam pour compromettre des infrastructures américaines !
À l'aide d'un ensemble d'outils et l'exploitation d'une faille de sécurité dans Veeam, le groupe de cybercriminels Cuba Ransomware parvient à compromettre des entreprises importantes aux États-Unis et en Amérique latine. Faisons le point sur cette menace.
Le gang de ransomware Cuba est très actif et il fait régulièrement parler de lui. Cette fois-ci, c'est l'équipe Threat Research and Intelligence de chez BlackBerry qui est à l'origine d'un rapport au sujet de nouvelles attaques menées par ces cybercriminels depuis le mois de juin 2023. Lors de ses attaques, ce gang applique le principe de la double extorsion pour essayer de convaincre les victimes à payer la rançon.
D'après BlackBerry, ces attaques ciblent des infrastructures critiques aux États-Unis et des intégrateurs de systèmes IT en Amérique latine.
Déroulement des attaques
Tout d'abord, l'attaque commence par une connexion RDP sur un serveur de l'entreprise ciblée, à l'aide d'un compte administrateur. Le rapport de BlackBerry précise qu'il n'y avait pas de trace de tentatives infructueuses : preuve que le brute force n'a pas été utilisé pour récupérer ces identifiants, et que les cybercriminels ont pu les obtenir par un autre biais.
Ensuite, les cybercriminels exploitent plusieurs outils comme BugHatch, capable d'établir une communication avec un serveur C2 et de télécharger des fichiers DLL ou d'exécuter des commandes. Ce qui permettra de mettre en place la technique d'attaque BYOVD (Bring Your Own Vulnerable Driver), utilisée pour désactiver la solution de sécurité sur le serveur et tuer le processus correspondant à l'aide de BurntCigar.
Pour la suite des opérations, les cybercriminels vont s'intéresser à deux failles de sécurité :
- La faille de sécurité CVE-2023-27532 de Veeam Backup & Replication pour voler des identifiants à distance, à partir de fichiers de configuration. Il s'agit d'une vulnérabilité déjà exploitée par le groupe cybercriminel russophone FIN7.
- La faille de sécurité CVE-2020-1472, plus ancienne et surnommée Zero Logon, permettant d'effectuer une élévation de privilèges sur un contrôleur de domaine Active Directory
Pour rappel, la vulnérabilité CVE-2023-27532 présente dans Veeam B&R bénéficie déjà d'un correctif depuis le 7 mars 2023. Vous devez utiliser au moins l'une des versions suivantes pour être protégé :
- Veeam Backup & Replication 12 : build 12.0.0.1420 P20230223 (et versions supérieures)
- Veeam Backup & Replication 11a : build 11.0.1.1261 P20230227 (et versions supérieures)
Au final, les cybercriminels poursuivent leur opération à l'aide de Cobalt Strike et d'applications malveillantes sous la forme de lolbins.
