Küba fidye yazılımı her geçen yıl daha fazla hız kazanıyor gibi görünüyor ve bu fidye yazılımı 2019’dan beri çalışıyor ve aktif durumda.
Şimdiye kadar, Küba fidye yazılımının operatörleri, birçok sektörü ve sektörü hedef almak için birkaç yüksek profilli saldırı gerçekleştirdi. Bunun yanı sıra, 2023’ün başlarında çeşitli önde gelen sektörler arası bölümleri zaten tamamladı.
BlackBerry Tehdit Araştırması ekibindeki siber güvenlik analistleri geçtiğimiz günlerde, bu fidye yazılımı grubunun kritik ABD altyapısına ve Latin Amerikalı bir BT entegratörüne saldırdığını ortaya çıkardıkları bir Haziran ayı kampanyasını analiz ettiler.
Cyber Security News ile paylaşılan bir raporda araştırmacılar, Küba fidye yazılımı grubunun Rus menşeli olmasına ve aktif olarak altyapı sektörünü hedef almasına bağladılar.
Hatta cephaneliklerine Veeam güvenlik açığı CVE-2023-27532 ile birlikte yeni bir araç seti ekledikleri bile iddia edildi.
Teknik Analiz
Küba fidye yazılımı (namı diğer COLDDRAW, Fidel), fidye yazılımının ve şifre çözücünün tanımlanması için şifrelenmiş dosyaları işaretleyerek orta düzeyde bir kurban havuzunu stratejik olarak hedefledi.
Küba fidye yazılımı, kurbanlarından fidye almak için çifte gasp yaklaşımı kullanıyor ve ABD kolluk kuvvetleri tarafından şu ana kadar 101 varlığın güvenliğini aştığı ortaya çıktı:
- Amerika Birleşik Devletleri’nde 65
- United dışında 36
Bu fidye yazılımı grubunun operatörleri, bu 4 yıl içinde kurbanlarından 145 milyon dolar fidye talep etti ve 60 milyon dolar biriktirmeyi başardı.
Aşağıda, Temel Taktiklerin içerdiği tüm özelliklerden bahsetmiştik:
- LOLBin
- İstismarlar
- Her ikisi de kullanıma hazır
- Özel kötü amaçlı yazılım
- kobalt saldırısı
- metasploit
İlk ihlal, Yönetici düzeyinde RDP oturum açmanın başarısız denemeler olmadan başarısız olduğunu gösterdi ve bu da önceki kimlik bilgilerinin çalındığını ima etti.
Küba’nın özel ve kullanıma hazır öğelerin bir karışımı olan alet çantası, geçmiş kampanyalar ve onların bilinen taktikleriyle benzerlikler gösteriyor.
Kullanılan Araçlar, İstismarlar ve Taktikler
Aşağıda, Küba fidye yazılımı grubunun arkasındaki operatörlerin kullandığı tüm araçlardan, istismarlardan ve taktiklerden bahsettik:-
- BUGATCH
- Metasploit DNS Aşamalayıcısı
- kama kesim
- Savunma Kaçırma
- BURNTSİGAR
- CVE-2020-1472 — NetLogon
- CVE-2023-27532 — Veeam
- Kobalt Saldırı İşareti
- Yanal hareket
- nltest yardımcı programı
- PSexec
- Ağ yönetimi yardımcı programı – net.exe
- LOLBin
- netpingall.exe
Ek olarak, Küba fidye yazılımı grubunun operatörlerinin kullandığı strateji, grubun finansal motivasyonları olduğunu gösteriyor.
öneriler
Aşağıda, güvenlik araştırmacıları tarafından sunulan tüm önerileri listeledik:
- Ağ sistemlerini ve sistem programlarını en son yamalar ve güncellemelerle güncel tutun.
- Hızlı komut istemi için uygun bir yama yönetimi programı dağıtın.
- Güçlü bir e-posta ağ geçidi çözümü uyguladığınızdan emin olun.
- Ağlar için yeterli segmentasyon sağlayın.
- Güncel, kapsamlı veri yedekleme için sağlam bir veri yedekleme çözümü kullanın.
- Her zaman sağlam bir uç nokta koruma platformu, AV araçları ve diğer gerekli modern güvenlik duvarı çözümlerini kullanın.
- Mümkün olan her yerde Çok Faktörlü Kimlik Doğrulama (2FA) çözümlerini kullanın.
- VPN kullanımını sağlayın.