Dolandırıcılık Yönetimi ve Siber Suçlar, Fidye Yazılımı
Saldırı, Veeam Uygulamasının Bir Bileşeninde Açığa Çıkmış Bir API’ye Erişiyor
Prajeet Nair (@prajeetspeaks) •
22 Ağustos 2023
Küba fidye yazılımı grubu, güvenlik araştırmacılarını uyararak Mart ayında ortaya çıkan veri yedekleme yazılımındaki bir hatadan yararlanıyor.
Ayrıca bakınız: İsteğe Bağlı Web Semineri | Üçüncü Taraf Riski, ChatGPT ve Deepfakes: Bugünün Tehditlerine Karşı Savunma
BlackBerry, Rusça konuşan çetenin, yazılım geliştiricisi Veeam tarafından yapılan bir yedekleme uygulamasındaki yüksek önem dereceli bir güvenlik açığı da dahil olmak üzere yeni ve eski araçların bir kombinasyonunu kullandığını söyledi.
CVE-2023-27532 olarak izlenen güvenlik açığı, Veeam Backup and Replication’da depolanan şifrelenmiş kimlik bilgilerini açığa çıkarıyor. İstismar edilmesi, yedek altyapı ana bilgisayarlarına yetkisiz erişime yol açabilir. BlackBerry, Küba grubunun Haziran ayında Amerika Birleşik Devletleri’ndeki kritik bir altyapı kuruluşuna ve Latin Amerika’daki bir BT entegratörüne saldırdığını söyledi.
Sağlık ve İnsani Hizmetler Departmanı Sağlık Sektörü Siber Güvenlik Koordinasyon Merkezi, Mayıs ayı uyarısında sağlık sektörünü Veeam açığından yararlanan siber saldırılardaki artış konusunda uyardı.
İstismar, Veeam uygulamasının bir bileşeninde açığa çıkan bir API’ye erişerek çalışır – Veeam.Backup.Service.exeVeeam Backup and Replication yazılımının sürüm 11a ve sürüm 12’den önceki tüm sürümlerinde bulunur.
Araştırmacılar, ada ülkesi Küba ile belirgin bir ilişkisi olmayan grubun yakın zamanda ABD merkezli bir kuruluşa saldırdığını ve birçoğunun daha önceki Küba fidye yazılımı olaylarıyla örtüşen eksiksiz bir taktik, teknik ve prosedür seti ortaya çıkardığını söyledi.
Küba’nın araç seti, Bughatch olarak bilinen özel bir indirici, kötü amaçlı yazılımdan koruma uç nokta çözümleri gibi işlemleri sonlandıran BurntCigar adlı bir yardımcı program ve Metasploit ve Cobalt Strike çerçevelerinin yanı sıra çok sayıda “karada yaşayan” ikili dosya içerir.
Küba fidye yazılımı ilk olarak 2019’da tehdit ortamında ortaya çıktı. Finansal kurumlar, hükümet binaları, sağlık sektörü, üretim ve bilgi teknolojisi dahil olmak üzere kritik altyapı sektörlerini aktif olarak hedeflemesiyle tanınır.
Grup, sistemleri kötü niyetli olarak şifrelenmiş halde bırakmadan önce veri çalmakla ve ardından inatçı kurbanları ödemeye zorlamak için verileri sızdırmasıyla tanınır. Onun adı geliyor .cuba şifreli dosyalara eklediği uzantı ve Küba’nın devrim niteliğindeki kitsch sanat eserlerini kullanma tercihi.