.jpg)
Haziran ayında, Rus fidye yazılımı grubu “Küba”, ABD’nin kritik altyapısına hizmet veren bir kuruluşa saldırdı. Siber saldırı, grubun birden fazla CVE, kullanıma hazır araçlar, benzersiz kötü amaçlı yazılım programları ve kaçırma yöntemleri kullanmasına rağmen başarısız oldu.
Küba, öncelikle ABD kuruluşlarını hedef alan büyük para fidye yazılımı saldırılarıyla tanınan, finansal olarak motive olmuş bir tehdit aktörüdür. İçinde Blackberry tarafından keşfedilen bilinen en son kampanyasıbir Amerikan kritik altyapı sağlayıcısının yanı sıra Latin Amerika’daki bir sistem entegratörünü hedef aldı.
Ekip bu süreçte iki güvenlik açığından yararlandı: CVE-2020-1472 “Sıfır Noktası” Ve CVE-2023-27532 – kendine özgü kötü amaçlı yazılımlarından ikisini (BUGHATCH ve BURNTCIGAR) ve iki hazır yazılım programını (Metasploit ve Cobalt) yanı sıra izinsiz giriş ve kaçırmaya yönelik çok sayıda program ve tekniği dağıttı.
Küba Fidye Yazılım Saldırılarını Nasıl Sağlıyor?
Bir şeylerin ters gittiğine dair ilk işaret, Mayıs ayında Uzak Masaüstü Protokolü (RDP) kullanılarak hedefin ağında yönetici düzeyinde bir oturum açma gerçekleştirildiğinde geldi. Daha önce herhangi bir başarısız oturum açma girişimi veya herhangi bir kaba kuvvet veya kötüye kullanım güvenlik açığı olduğuna dair hiçbir kanıt yoktu. Saldırganın geçerli kimlik bilgilerini tam olarak nasıl elde ettiği net değil, ancak Blackberry araştırmacıları Küba’nın kimlik bilgilerini almak için ilk erişim aracılarını kullandı geçmişte.
Küba, ağa girdikten sonra kendi özel indiricisi BUGHATCH’ı kurdu. BUGHATCH, bir komuta ve kontrol (C2) sunucusuna bağlantı kurar, ardından saldırgan yüklerini indirir. (Aynı zamanda dosyaları ve komutları da çalıştırabilir.) BUGHATCH’ın bu seferki indirmelerinden biri, örneğin, hedef ortamdaki yerini sağlamlaştırmak için kullandığı Metasploit’ti.
Ayrıcalıkları yükseltmek ve yönetici erişimi elde etmek için grup istismar etti Zerologon, üç yaşındaki güvenlik açığı Windows’un Netlogon Uzak Protokolünde. Ancak Küba yalnızca bir güvenlik açığıyla yetinmedi – ayrıca, Veeam yedekleme yazılımındaki “yüksek” önem düzeyine sahip 7.5 CVSS puanlı bir hatadan, yapılandırma dosyasında tutulan kimlik bilgilerini sifonlamak amacıyla yararlandı.
Küba’nın ikinci tescilli kötü amaçlı yazılımı – BURNTCIGAR – belki de en ilginç olanıdır ve gerçekleştirmek için kullanılır. Kendi Savunmasız Sürücünüzü Getirin (BYOVD) saldırıları. İstismar eder G/Ç kontrol kodları çekirdek düzeyindeki işlemleri toplu olarak sonlandırmak için sürücülerle iletişim kurmak için kullanılır. Bu durumda BURNTCIGAR, büyük ölçüde kötü amaçlı yazılımdan koruma ve uç nokta ürünleriyle ilişkili 200’den fazla işlemi ortadan kaldırdı.
Küba, kötü amaçlı yazılımdan koruma ve uç nokta korumalarını sıfırlamanın ötesinde, ağın içinde iki aylık bir süre boyunca yavaş ve bilinçli hareket ederek izlerini kapattı.
“Kurbanın ağındaki her eylem arasında gecikmeler yaparak şüphe uyandırmamak OpSec’in bir parçası gibi görünüyor. Dakikadan dakikaya, saatten saate çalışıyorlarmış gibi değil. Bir şey yapıyor ve sonra sadece bir hafta bekliyor, ve sonra tekrar bir şeyler yapmak,” diye açıklıyor Bestuzhev.
Küba kimdir?
2019’daki keşfinden bu yana Küba, dünyanın en karlı fidye yazılımı gruplarından biri oldu. CISA verilerine göreAğustos 2022 itibarıyla grup, 65’i ABD’de ve 36’sı başka yerlerde olmak üzere 101 varlığı tehlikeye attı ve toplamda 145 milyon dolar fidye ödemesi talep etti ve yaklaşık 60 milyon dolar aldı.
Grup, kodunda ve sızıntı sitesinde Küba Devrimi referanslarını ve ikonografisini kullanıyor, ancak çok sayıda kanıt, üyelerinin aslında Rus kökenli olduğunu gösteriyor. Önceki araştırma ortaya çıktı bir fidye notunda Rusça dil kökenlerini düşündüren bir çeviri hatası ve grubun web sitesinde Rusça’dan çevrilen “Ah, bu 404! blablabla 404 blablabla” yazan bir 404 hatası.
Blackberry’nin araştırması, kötü Rusça çevirilere dair başka ipuçlarının yanı sıra, Rusça veya Rusça klavyeyle çalışan herhangi bir ana bilgisayarda kötü amaçlı yazılımı devre dışı bırakma özelliği ortaya çıkardı.
Rus Küba’sına karşı savunma yapmak için Bestuzhev, kuruluşların algılama teknolojilerine, hızlı ve belki de otomatik düzeltme eklerine ve gelişmiş tehdit istihbaratına yatırım yapmaya önem vermelerini tavsiye ediyor.
Ve bunların hepsi başarısız olursa, o zaman hızlı ve kararlı adımlar atılmalıdır çünkü “hafta sonu veya kaynak eksikliği nedeniyle bir gecikme olursa, bu büyük kayıplara yol açabilir” diye uyarıyor.