กลุ่มแฮ็กเกอร์มัลแวร์เรียกค่าไถ่ของคิวบาถูกได้โจมตีหน่วยงานโครงสร้างพื้นฐานที่สำคัญในสหรัฐฯและบริษัทไอทีในละตินอเมริกา โดยใช้เครื่องมือเจาะระบบทั้งเก่าและใหม่ผสมผสานกัน เมื่อต้นเดือนมิถุนายน 2566 ทีมวิจัยภัยคุกคามไซเบอร์ของบริษัท BlackBerry ได้รายงานว่าแฮ็กเกอร์คิวบาใช้ประโยชน์จากช่องโหว่หมายเลข CVE-2023-27532 เพื่อขโมยข้อมูลจากไฟล์การกำหนดค่า (configuration file) ช่องโหว่ดังกล่าวส่งผลกระทบต่อผลิตภัณฑ์ Veeam Backup & Replication (VBR)
Veeam เป็นโปรแกรม Backup สำหรับเครื่องแม่ข่ายเสมือน Virtual Machine (VM) หรือระบบปฏิบัติการ Guest OS ที่อยู่ในโปรแกรม Virtualization ต่างๆ เช่น VMware ESX หรือ Hyper-V เป็นต้น
นอกจากช่องโหว่ Veeam แล้ว แฮ็กเกอร์คิวบายังใช้ประโยชน์จาก CVE-2020-1472 (Zerologon) ซึ่งเป็นช่องโหว่ในโปรโตคอล NetLogon ของ Microsoft ซึ่งให้สิทธิ์ในการยกระดับกับตัวควบคุมโดเมน (Active Directory AD) อีกด้วย
แฮ็กเกอร์คิวบาบุกรุกระบบของหน่วยงานผ่านระบบรีโมทระยะไกล และจากนั้นแฮกเกอร์จะทำการดาวน์โหลด BugHatch ที่ได้ปรับแต่งมาเรียบร้อยแล้ว และทำการเชื่อมต่อกับเซิร์ฟเวอร์ของแฮ็กเกอร์เพื่อดำเนินการโจมตีต่อ นอกจากนี้ คิวบาใช้เทคนิค BYOVD (Bring Your Vulnerable Driver) ที่แพร่หลายในปัจจุบันเพื่อปิดเครื่องมือป้องกันปลายทาง ประกอบกับเครื่องมือ ‘BurntCigar’ เพื่อปิดกั้นระบบที่เกี่ยวข้องกับผลิตภัณฑ์รักษาความปลอดภัยของเครื่องเป้าหมาย
นักวิจัยคาดว่ากลุ่มแฮ็กเกอร์น่าจะเป็นชาวรัสเซีย และเหตุผลในการโจมตีครั้งนี้น่าจะเป็น แรงจูงใจทางการเงิน สมมติฐานนี้อยู่บนพื้นฐานของภาษาที่ใช้คือภาษารัสเซีย รวมถึงการกำหนดเป้าหมายที่เน้นประเทศตะวันตกเป็นหลัก
ทั้งนี้นักวิจัยบริษัท WithSecure ยังพบว่ากลุ่มแฮ็กเกอร์ FIN7ใช้ช่องโหว่แบบเดียวกับกลุ่มมัลแวร์เรียกค่าไถ่คิวบาอีกด้วย
ที่มา : https://www.bleepingcomputer.com/news/security/cuba-ransomware-uses-veeam-exploit-against-critical-us-organizations/
