Программа-вымогатель Cuba использует уязвимости Microsoft Exchange для получения начального доступа к корпоративным сетям и шифрования устройств.
Фирма по кибербезопасности Mandiant отслеживает банду программ-вымогателей как UNC2596, а саму программу-вымогатель — как COLDDRAW. Тем не менее, программа-вымогатель более известна как Cuba. Куба была запущена в конце 2019 года, и, хотя она развёртывалась медленно, но начала набирать скорость в 2020 и 2021 годах. Это увеличение активности привело к тому, что ФБР выпустило в декабре 2021 года бюллетень о кубинской программе-вымогателе, предупреждая, что банда взломала 49 критически важных инфраструктурных организаций в США.
Было замечено, что кубинская банда вымогателей использует уязвимости Microsoft Exchange для развертывания веб-оболочек, RAT и бэкдоров, чтобы закрепиться в целевой сети с августа 2021 года.
«Mandiant также определила использование уязвимостей Microsoft Exchange, включая ProxyShell и ProxyLogon, как еще одну точку доступа, используемую UNC2596, вероятно, уже в августе 2021 года», — объясняет Mandiant в новом отчете.
Наконец, есть дроппер, работающий только с памятью, который извлекает вышеуказанные полезные данные и загружает их через инструмент, называемый Termite. Однако этот инструмент наблюдался в кампаниях нескольких групп угроз, поэтому он используется не только участниками угрозы Кубы.
Злоумышленники повышают привилегии, используя украденные учетные данные, полученные с помощью доступных инструментов Mimikatz и Wicker.
Банда Кубы не использует никаких облачных сервисов для этапа эксфильтрации, а вместо этого отправляет все в свою собственную частную инфраструктуру.
