Ransomware Cuba se aproveita de falhas críticas para hackear servidores Exchange

ransomware-cuba-se-aproveita-de-falhas-criticas-para-hackear-servidores-exchange

De acordo com a Microsoft, cibercriminosos do ransomware Cuba estão invadindo servidores Microsoft Exchange sem correção contra uma vulnerabilidade crítica de falsificação de solicitação do lado do servidor (SSRF).

Essa vulnerabilidade agora explorada pelo Cuba, também foi explorada pelo ransomware Play. O provedor de computação em nuvem Rackspace confirmou recentemente que o ransomware Play usou uma exploração de zero dia chamada OWASSRF.

De acordo com as informações, esse ransomware usou esse bug para comprometer servidores Microsoft Exchange sem patch em sua rede após ignorar as mitigações de reescrita de URL ProxyNotShell.

Ransomware Cuba hackeando servidores Exchange

De acordo com a Microsoft, a gangue do ransomware Play abusa dessa falha de segurança desde o final de novembro de 2022. A empresa aconselha os clientes a priorizar o patch CVE-2022-41080 para bloquear possíveis ataques.

A Microsoft revelou que essa vulnerabilidade SSRF também foi explorada desde pelo menos 17 de novembro por outro grupo de ameaças que rastreia como DEV-0671 para hackear servidores Exchange e implantar cargas úteis de ransomware em Cuba.

A Microsoft compartilhou essas informações em uma atualização de janeiro para um relatório privado de análise de ameaças visto pelo BleepingComputer e disponível para clientes com assinaturas do Microsoft 365 Defender, Microsoft Defender for Endpoint Plan 2 ou Microsoft Defender for Business.

Atualizações

Embora a Microsoft tenha lançado atualizações de segurança para lidar com essa vulnerabilidade do SSRF Exchange em 8 de novembro e tenha fornecido a alguns de seus clientes informações de que gangues de ransomware estão usando a falha.

A exploração OWASSRF detectada pelos pesquisadores de segurança da CrowdStrike na rede da Rackspaces também foi compartilhada online junto com algumas das outras ferramentas maliciosas do Play ransomware.

As organizações com servidores Microsoft Exchange locais em suas redes devem implantar as atualizações de segurança mais recentes do Exchange imediatamente ou desabilitar o Outlook Web Access (OWA) até que possam aplicar os patches CVE-2022-41080.

Cuba ransomware

O FBI e a CISA revelaram em um comunicado de segurança conjunto emitido no mês passado que a gangue de ransomware de Cuba violou mais de 100 vítimas em todo o mundo.

Embora isso represente um quadro sombrio, as amostras enviadas pelas vítimas para a análise da plataforma ID-Ransomware mostram que a gangue não é muito ativa, Ou seja, mesmo uma operação de ransomware um tanto inativa pode ter um grande impacto.

ransomware-cuba-se-aproveita-de-falhas-criticas-para-hackear-servidores-exchange
Imagem: Reprodução | Bleeping Computer

Outro comunicado do FBI de dezembro de 2021 alertou que o grupo de ransomware havia comprometido pelo menos 49 organizações de setores críticos de infraestrutura dos EUA.