古巴勒索病毒团伙利用高危Veeam漏洞

关键要点

古巴勒索病毒团伙最近被观察到首次利用一个高危的Veeam漏洞进行攻击。这一漏洞影响了美国的关键基础设施和拉丁美洲的IT集成商。

根据 2023年8月17日的博客文章，研究人员调查了该团伙在6月份展开的一次活动，该活动对美国关键基础设施领域的组织发起了攻击。

Veeam漏洞编号为，它的严重性分数为7.5。NIST报告指出，VeeamBackup和Replication组件使得存储在配置数据库中的加密凭证可以被获取，这可能导致对备份基础设施主机的访问。

黑莓的研究结果显示，这种勒索病毒可能源于俄国。研究人员认为这个理论得到了进一步验证，因为该勒索病毒在设置为俄语或存在俄语键盘布局的主机上会自动终止。

古巴勒索病毒，也被称为COLDDRAW，自2019年首次出现在网络威胁中以来，积累了一份相对较小但精心挑选的受害者名单。据黑莓研究者称，它也被称为Fidel勒索病毒，因为在所有加密文件开头都有一个特征性标记，作为加密文件的指示。

尽管使用了古巴的名字，并且在其泄露网站上有民族主义的风格，但古巴勒索病毒团伙与古巴共和国之间的联系很小。Profero的研究人员曾指出，它与讲俄语的网络威胁角色有联系，原因是他们发现了一些语言上的失误，并在该威胁角色自己的泄露网站上找到了包含俄语文本的404网页。

黑莓的研究人员还指出，在2022年8月的美国执法单位联合建议中提到，古巴勒索病毒团伙在2022年被认为已经攻陷了101个实体，其中65个在美国，36个在美国以外。其中，该团伙共索要了1.45亿美元的赎金，实际收到了高达6000万美元的支付。

勒索病毒威胁者通常会在攻击期间禁用恢复能力，从而在赎金谈判中提供额外的优势，Ontinue的威胁情报主任Andre van derWalt表示。这种案例强调了组织必须识别其环境中的关键服务、识别漏洞，并定期应用补丁或其他缓解措施。

“备份和恢复服务肯定属于关键服务的定义范围。”van der Walt说道。“古巴威胁团伙能够利用这一关键漏洞，显示了在漏洞管理方面的现状。”

这支与俄罗斯有关的威胁团伙显然很复杂，使用29种不同的，在从初始访问到防御规避和横向移动的杀伤链中游刃有余。CardinalOps的网络防御战略副总裁PhilNeray表示，越来越多的加密备份成为高价值目标，无论是Veeam备份服务还是其他备份服务如AWS S3存储桶。

“组织应通过实施细致的监控来保护自己，这些监控应覆盖所有这些对手的技术，以及查找备份的异常或未经授权的访问。”Neray补充道。