Haziran ayında Rus fidye yazılımı grubu Küba, ABD’nin kritik altyapısına hizmet veren bir kuruluşa saldırdı. Siber saldırı, grubun birden fazla CVE, kullanıma hazır araçlar, benzersiz kötü amaçlı yazılım programları ve kaçırma yöntemleri kullanmasına rağmen başarısız oldu.
Küba, öncelikle ABD kuruluşlarını hedef alan büyük parasal fidye yazılımı saldırılarıyla tanınan, finansal motivasyona sahip bir tehdit aktörüdür. İçinde BlackBerry tarafından keşfedilen bilinen en son kampanyasıLatin Amerika’daki bir sistem entegratörünün yanı sıra Amerikalı bir kritik altyapı sağlayıcısını da hedef alıyordu.
Bu süreçte çete iki güvenlik açığından yararlandı: CVE-2020-1472 “Sıfırologon” Ve CVE-2023-27532 – imza niteliğindeki kötü amaçlı yazılımlarından ikisini (BUGHATCH ve BURNTCIGAR) ve kullanıma hazır iki yazılım programını (Metasploit ve Cobalt) ve ayrıca izinsiz giriş ve kaçırmaya yönelik çok daha fazla program ve tekniği devreye aldı.
Küba Fidye Yazılımı Saldırılarını Nasıl Başlatıyor?
Bir şeylerin yanlış olduğuna dair ilk işaret Mayıs ayında, Uzak Masaüstü Protokolü (RDP) kullanılarak hedefin ağında yönetici düzeyinde oturum açma işlemi gerçekleştirildiğinde geldi. Daha önce herhangi bir başarısız oturum açma girişiminde bulunulduğuna ya da herhangi bir kaba kuvvet uygulamasına ya da güvenlik açığından yararlanıldığına dair hiçbir kanıt yoktu. Saldırganın geçerli kimlik bilgilerini tam olarak nasıl elde ettiği belli değil ancak BlackBerry araştırmacıları, Küba’nın geçmişte kimlik bilgilerini elde etmek için ilk erişim aracılarını kullandığını belirtti.
Ağa girdikten sonra Küba, kendi özel indiricisi BUGHATCH’ı kurdu. BUGHATCH, bir komuta ve kontrol (C2) sunucusuyla bağlantı kurar ve ardından saldırganın verilerini indirir. (Aynı zamanda dosya ve komutları da yürütebilir.) BUGHATCH’in bu seferki indirmelerinden biri, örneğin, hedef ortamdaki yerini sağlamlaştırmak için kullandığı Metasploit’ti.
Grup, ayrıcalıkları yükseltmek ve yönetici erişimi elde etmek için Windows’un Netlogon Uzaktan Protokolündeki 3 yıllık bir güvenlik açığı olan Zerologon’dan yararlandı. Ancak Küba yalnızca tek bir güvenlik açığıyla yetinmedi; Veeam yedekleme yazılımındaki yüksek önem derecesine sahip 7,5 CVSS puanlı bir hatadan yararlanarak yapılandırma dosyasında tutulan kimlik bilgilerini hortumladı.
Küba’nın ikinci tescilli kötü amaçlı yazılımı – BURNTCIGAR – belki de bunların en ilginçidir ve Kendi Savunmasız Sürücünüzü Getirin (BYOVD) saldırılarını gerçekleştirmek için kullanılır. Şunu istismar ediyor: G/Ç kontrol kodları Çekirdek düzeyindeki işlemleri topluca sonlandırmak amacıyla sürücülerle iletişim kurmak için kullanılır. Bu durumda BURNTCIGAR, büyük ölçüde kötü amaçlı yazılımdan koruma ve uç nokta ürünleriyle ilişkili 200’den fazla işlemi ortadan kaldırdı.
Küba, kötü amaçlı yazılımlara karşı koruma ve uç nokta korumalarını sıfırlamanın ötesinde, ağ içinde iki ay boyunca yavaş ve bilinçli hareket ederek izlerini kapattı.
“Kurbanın ağındaki her eylem arasında gecikme yaparak şüphe uyandırmamak OpSec’in bir parçası gibi görünüyor.” Bestuzhev açıklıyor. “Onlar dakika dakika, saat saat çalışıyorlarmış gibi değil. Bir şeyler yapmak, sonra bir hafta beklemek ve sonra tekrar bir şeyler yapmak.”
Küba Kimdir?
Küba, 2019’daki keşfinden bu yana dünyanın en karlı fidye yazılım şirketlerinden biri oldu. CISA verilerine göreAğustos 2022 itibarıyla grup, 65’i ABD’de ve 36’sı başka yerlerde olmak üzere 101 kuruluşun güvenliğini ihlal etti ve toplam 145 milyon dolar fidye ödemesi talep etti ve yaklaşık 60 milyon dolar aldı.
Grup, kodunda ve sızıntı sitesinde Küba Devrimi referanslarını ve ikonografisini kullanıyor, ancak çok sayıda kanıt, üyelerinin aslında Rus kökenli olduğunu gösteriyor. Önceki araştırmalar ortaya çıktı Fidye notunda Rus dilinin kökenini öne süren bir çeviri hatası ve grubun web sitesinde Rusçadan çevrilmiş olan “Ah, bu 404! blablabla 404 blablabla” yazan bir 404 hatası var.
BlackBerry’nin araştırması, Rusça çevirilerin kötü olduğuna dair başka ipuçlarının yanı sıra, Rusça veya Rusça klavyeyle çalışan herhangi bir ana bilgisayardaki kötü amaçlı yazılımı devre dışı bırakma özelliğini de ortaya çıkardı.
Bestuzhev, Rus Küba’sına karşı savunma yapmak için kuruluşların tespit teknolojilerine, hızlı ve belki de otomatik yamalamaya ve gelişmiş tehdit istihbaratına yatırım yapmaya önem vermelerini tavsiye ediyor.
Ve eğer tüm bunlar başarısız olursa, hızlı ve kararlı bir şekilde harekete geçilmelidir çünkü “hafta sonu veya kaynak eksikliği nedeniyle bir gecikme olursa, bu büyük kayıplara yol açabilir” diye uyarıyor.