2023年8月時点のCuba Ransomware

Cuba Ransomwareは2019年12月が初認のランサムウェアファミリです。
リークサイトなどのいろいろな環境が整ってきて被害が拡大し始めたのは2021年ごろからとなりますが、長く活動している脅威です。
長い期間の中で、その活動内容は変化してきています。
2023年8月時点ではどのような内容となっているのでしょうか。

• 初期アクセス
  悪用されるのはRDP、リモートデスクトップ接続のプロトコルです。
  外部から到達可能なRDPに接続してくるのですが、ブルートフォース攻撃を行うわけでも脆弱性の悪用を行うわけでもありません。
  何事もなかったように管理権限のあるユーザとして入ってきます。
  攻撃の開始の前に、別途入手した有効な資格情報を使って活動が開始されていると考えられます。
  この活動内容は心情的には侵害ですが、技術的には通常利用ということになります。
• BUGHATCH
  BUGHATCHは軽量のカスタムダウンローダーです。
  いろいろな攻撃ツールはいろいろなアクターが利用しますが、このBUGHATCHはCuba Ransomwareの利用のみが確認されています。
  Cuba Ransomware自身で作成したツールなのかもしれません。
  BUGHATCHはC2に接続し、攻撃者が選択したペイロード(通常は小さなPEファイルまたはPowerShellスクリプト)をダウンロードします。
• Metasploit DNS Stager
  Cuba RansomwareはMetasploit DNS Stagerを使用します。
  このペイロードは実行されると用意されたDNSにアクセスし、TXTレコードを取得します。
  取得したTXTレコードの内容は暗号化されたshellcodeになっています。
  これを復号化し実行します。
• Wedgecut
  これはホスト列挙ツールです。
  渡されたIPアドレスまたはホストのリストの内容のそれぞれがオンラインかどうかをICMPを使って確認します。
  この結果は被害環境内での拡散に使用されることになりそうです。
• BURNTCIGAR
  BURNTCIGARはカーネル レベルで特定のプロセスを終了するユーティリティです。
  環境にある脆弱なままのドライバーを悪用し、環境のセキュリティ機構を停止させていきます。
  従来のBURNTCIGARでは停止させるプロセスのリストが平文でハードコードされていましたが、最近のものではリストをCRC-64/ECMA-182アルゴリズムでハッシュ化したものを内部に保持した状態で動作します。
  利用時に復号化して動作します。
  このためセキュリティ機構での検出の難易度は上がってしまっています。
  この機構で停止されてしまうことになるセキュリティ機構のリストの長さは、現在200を超えています。
• エクスプロイト
  脆弱性も悪用します。
  WindowsのNetLogonの脆弱性のCVE-2020-1472を悪用します。
  Veeam Backup & Replicationの脆弱性のCVE-2023-27532も悪用します。

Cuba Ransomwareの活動は爆発的に広がっているような動きではありませんが、その個別のキャンペーン毎に攻撃ツールを変化させながら活動しています。
攻撃内容は派手に機構拡張がされていくというものでなく、実行がより見つかりにくく、より最適化されてきているように思えます。
近い将来、大きな活動が始まってしまうかもしれません。

防御側ができることはいつも通りになりそうです。
基本的な対策を継続しましょう。タイムリーなパッチ適用、メールソリューションの安全化、ネットワークのセグメンテーション、バックアップ機構の運用、従業員トレーニングなどですね。
それぞれの環境でできている対策も多くあると思います。
十分でない部分がある場合は、そういった部分を継続的に改善していきたいですね。

参考記事（外部リンク）：Cuba Ransomware Deploys New Tools: Targets Critical
Infrastructure Sector in the U.S. and IT Integrator in Latin America
blogs.blackberry.com/en/2023/08/cuba-ransomware-deploys-new-tools-targets-critical-infrastructure-sector-in-the-usa-and-it-integrator-in-latin-america