キューバ・ランサムウェア

Cubaは、多くの場合、第一段階のHancitorローダーマルウェアを介してドロップされ、フィッシング攻撃、公開された脆弱性、または盗まれた、またはブルートフォースされたRDP資格情報によってアクセスを取得します。ターゲットをファイルからロックアウトするために、Cubaは対称暗号化アルゴリズムChaCha20を使用し、一致する秘密鍵を保持するRSA公開鍵を使用して復号鍵を付加して暗号化します。

キューバの攻撃に見られるさまざまな手段、戦術、テクニックは注目に値する。以下はキューバの戦術とテクニックの非網羅的リストである：

• SOCKS5接続を使用するSystemBCマルウェアを介したコマンド・アンド・コントロール（C2）サーバーとの通信
• Microsoft Exchangeの脆弱性を利用したネットワーク・メール・サーバーへの侵入
• PowerShell、SystemBC、Mimikatz、Cobalt Strikeプラットフォーム、および cmd.exeなどのビルトインツールを使用して、ネットワークを横方向に移動する。
• PSEXECを使用して、新たに侵害されたシステムにペイロードを転送する。
• ネットワーク共有アクセス制御の解除
• 永続的なアクセスのために、侵害されたシステム上に新しいユーザーを作成する。 
• ファイアウォールのルールを変更し、RDP接続にポート3389を許可する
• Endpoint Detection and Response（EDR）およびアンチウイルス・セキュリティ製品の無効化
• Windows Common Log File System (CLFS) ドライバを悪用して管理者認証情報を盗む
• カスタムダウンローダーのBUGHATCH、アンチウエアキラーのBURNTCIGAR、Metasploitフレームワークを使ってシステムを攻撃する。
• 防御を回避し、BYOVD（Bring Your Own Vulnerable Driver）テクニックを使ってセキュリティを回避する。
• Veeam Backup Serviceを介した脆弱性CVE-2023-27532の悪用による保存された認証情報へのアクセス

キューバ・ランサムウェアは複数の攻撃テクニックを使用するため、この悪質な敵に対抗するには「深層防御」のアプローチが推奨される。キューバ・ランサムウェアの攻撃に対抗するために採用できる防御策には、以下のようなものがあります： 

• 強力な鍵空間を義務付け、すべての重要なサービスで多要素認証を可能にするパスワードポリシー
• 最新のアイデンティティ・アクセス管理（IAM）ツール 
• すべてのエンドポイントに高度なエンドポイントセキュリティ製品を導入し、侵害の指標（IOC）を検出し、悪意のあるペイロードの実行をブロックする防御措置を講じる。
• すべてのオペレーティングシステムとソフトウェアを常に最新の状態に保ち、すべてのネットワークインフラの脆弱性スキャンと侵入テストを定期的に実施し、発見された脆弱性を可能な限り速やかに修正する。
• 管理用シェアやその他のサービスへの不要なアクセスを排除するなど、セキュリティに対する最小特権原則のアプローチを導入する。
• セグメント化されたネットワークとNIPS、NIDSによるネットワーク・アクティビティの異常動作の監視
• 従業員のワークステーションやサーバーを含むすべてのエンドポイントを、コマンドラインやスクリプティング・アクティビティ、パーミッション、および不要なサービスを無効化することでハード化し、LOTL（living off the land）型攻撃の可能性を低減する。
• データのオフラインバックアップ、暗号化バックアップ、不変バックアップを含む強固なバックアップ戦略