El ransomware Cuba explota la vulnerabilidad SSRF de Microsoft

El ransomware Cuba está apuntando a los servidores Microsoft Exchange vulnerables.

Los investigadores informaron recientemente que los operadores del ransomware Cuba están usando la utilidad de carga Burntcigar para instalar un controlador malicioso firmado con un certificado de Microsoft.

Ahora, el gigante tecnológico ha revelado que el grupo también está apuntando a servidores de Exchange vulnerables para una vulnerabilidad crítica de falsificación de solicitud del lado del servidor (SSRF), también conocida como OWASSRF.

La vulnerabilidad se reveló por primera vez en noviembre del año pasado.

Actores de ransomware que abusan de OWASSRF

Informes recientes de Microsoft y otras agencias sugieren que el grupo de ransomware Cuba está ampliando activamente su alcance al adoptar rápidamente nuevas tácticas de ataque. Esto incluye la explotación de nuevos errores, siendo el más reciente OWASSRF.

Recientemente, los operadores de Cuba comenzaron a explotar el día cero OWASSRF (CVE-2022-41080) para comprometer los servidores vulnerables de Microsoft Exchange. Desde su divulgación, el actor de amenazas DEV-0671 ha estado explotando este error para atacar servidores de Exchange e implementar cargas útiles de ransomware de Cuba.

Últimamente, el grupo de ransomware Play abusó de esta misma falla de seguridad en la red de Rackspace. El error se aprovechó para eliminar varias herramientas, incluidas Plink y AnyDesk, para obtener acceso remoto a los servidores infectados.

Acciones realizadas hasta el momento

Microsoft lanzó actualizaciones de seguridad para abordar este error en noviembre de 2022 y ha brindado a sus clientes información sobre la protección contra este método de ataque. La CISA agregó este error a su Catálogo de Vulnerabilidades Explotadas Conocidas y ordenó a las agencias de la Rama Ejecutiva Civil Federal (FCEB) que corrijan sus sistemas contra este error antes del 31 de enero.