NUEVA ACTIVIDAD DEL RANSOMWARE CUBA

12/01/2023

BOLETÍN NRO 2023-032

Recientemente, se ha informado que el grupo de Ransomware Cuba está atacando a los servidores de Microsoft Exchange, utilizando una vulnerabilidad crítica de falsificación de solicitud del lado del servidor (SSRF). También fue explotada durante el ataque hacia los servidores Exchange de Rackspace, esta noticia fue emitida en nuestro Boletín SecureSoft Nro. 2023-007.

Servicios Afectados

• Sistemas operativos Windows

Detalles Tecnicos

CVE: CVE-2022-41080                                    Severidad:   CRÍTICA

El 04 de enero del 2023, la empresa Rackspace confirmó que el Ransomware Play utilizó un exploit de zero-day denominado OWASSRF, esta iba dirigido al error CVE-2022-41080, con la intensión de comprometer los servidores de Microsoft Exchange sin parches en su red, después de omitir las mitigaciones de reescritura de URL de ProxyNotShell.

Este mismo ataque es utilizado por el Ransomware Cuba, para infectar servidores de Microsoft Exchange que no cuentan con sus parches de seguridad en la vulnerabilidad crítica. Además, ha sido explotada en noviembre por el grupo de ciberdelincuentes denominados como DEV-0671.

Microsoft lanzó actualizaciones de seguridad para abordar esta vulnerabilidad de SSRF Exchange el 8 de noviembre. Esta noticia fue emitida en nuestro Boletín SecureSoft Nro. 2022-656.

Indicadores de Compromiso

IP

69[.]30[.]232[.]138

62[.]210[.]54[.]235

46[.]17[.]106[.]230

31[.]44[.]184[.]84

31[.]44[.]184[.]100

31[.]184[.]199[.]82

31[.]184[.]198[.]90

31[.]184[.]198[.]86

31[.]184[.]198[.]85

31[.]184[.]198[.]84

31[.]184[.]198[.]82

31[.]184[.]198[.]80

31[.]184[.]198[.]74

31[.]184[.]198[.]111

31[.]184[.]194[.]42

209[.]127[.]187[.]245

185[.]153[.]199[.]168

185[.]153[.]199[.]164

185[.]153[.]199[.]163

185[.]153[.]199[.]162

170[.]39[.]212[.]69

104[.]238[.]134[.]63

104[.]217[.]8[.]100

31[.]184[.]198[.]83

92[.]222[.]172[.]39

92[.]222[.]172[.]172

Dominio

witorophron[.]com

vu42i55fqimjx6koo7oqh3zzvy2xghqe7ot4h2ftcv2pimbauupjyqyd[.]onion

tycahatit[.]ru

torsketronand[.]ru

toftoflethens[.]com

tinheranter[.]com

thehentoftbet[.]ru

tandugolastsp[.]com

reninparwil[.]com

otinrofha[.]ru

ningwitjohnno[.]ru

nastylgilast[.]com

nagirlstylast[.]com

leftthenhispar[.]ru

johntotrepwron[.]com

facabeand[.]com

fabickng[.]ru

babbedidndu[.]ru

URL

hxxp://witorophron[.]com/ugr/gate[.]php

hxxp://tycahatit[.]ru/ls5/gate[.]php

hxxp://torsketronand[.]ru/ls5/gate[.]php

hxxp://toftoflethens[.]com/ugr/gate[.]php

hxxp://tinheranter[.]com/ls5/gate[.]php

hxxp://thehentoftbet[.]ru/ls5/gate[.]php

hxxp://tandugolastsp[.]com/ls6/gate[.]php

hxxp://reninparwil[.]com/ls5/gate[.]php

hxxp://otinrofha[.]ru/ls4/gate[.]php

hxxp://ningwitjohnno[.]ru/ls5/gate[.]php

hxxp://nastylgilast[.]com/ugr/gate[.]php

hxxp://nastylgilast[.]com/ls6/gate[.]php

hxxp://nagirlstylast[.]com/ls6/gate[.]php

hxxp://leftthenhispar[.]ru/ls5/gate[.]php

hxxp://johntotrepwron[.]com/ls5/gate[.]php

hxxp://facabeand[.]com/sliva/gate[.]php

hxxp://fabickng[.]ru/7/forum[.]php

hxxp://babbedidndu[.]ru/ls5/forum[.]php

Hash

MD5: cf6ec2999b5d67df89a5350dfcff611d

SHA256: 8e64bacaf40110547b334eadcb0792bdc891d7ae298fbfff1367125797b6036b

MD5: c9d3b29e0b7662dafc6a1839ad54a6fb

SHA256: 4306c5d152cdd86f3506f91633ef3ae7d8cf0dd25f3e37bec43423c4742f4c42

MD5: a839b2a598fc598044f9814873d7fc84

SHA256: bff4dd37febd5465e0091d9ea68006be475c0191bd8c7a79a44fbf4b99544ef1

MD5: a1649dec72c316587b10d92993aee1ec

SHA256: bd270853db17f94c2b8e4bd9fa089756a147ed45cbc44d6c2b0c78f361978906

MD5: 7d82030186936aa9fb21256d9593d992

SHA256: 61971d3cbf88d6658e5209de443e212100afc8f033057d9a4e79000f6f0f7cc4

MD5: 75b55bb34dac9d02740b9ad6b6820360

SHA256: 141b2190f51397dbd0dfde0e3904b264c91b6f81febc823ff0c33da980b69944

MD5: 4c32ef0836a0af7025e97c6253054bca

SHA256: 1d142c36c6cdd393fe543a6b7782f25a9cbafca17a1cfa0f3fc0f5a9431dbf3f

MD5: 250cb957728dba0f3ae2c1c1e9bae241

SHA256: f1103e627311e73d5f29e877243e7ca203292f9419303c661aec57745eb4f26c

MD5: 23cea76078dd3829bd2b7e00f2bfe2ad

SHA256: 571f8db67d463ae80098edc7a1a0cad59153ce6592e42d370a45df46f18a4ad8

MD5: 03c835b684b21ded9a4ab285e4f686a3

SHA256: 0f385cc69a93abeaf84994e7887cb173e889d309a515b55b2205805bdfe468a3

MD5: 7b6f996cc1ad4b5e131e7bf9b1c33253

SHA256: b14341b1ffe9e2730394b9066c6829b4e2f59a4234765ae2e97cfc6d4593730a

MD5: 72a60d799ae9e4f0a3443a2f96fb4896

SHA256: 6d5ca42906c60caa7d3e0564b011d20b87b175cbd9d44a96673b46a82b07df68

MD5: 3fe1a3aaca999a5db936843c9bdfea14

SHA256: e82cc49c03320a0fb6ec3512c0ca3332eb1b40070cc53a78bc80b77b4aba975c

Recomendaciones

Se recomienda a nuestros clientes que cuenten con los servicios que puedan verse afectados, seguir las siguientes acciones preventivas para reducir riesgos:

Para el personal de seguridad de información:

• Para mitigar esta vulnerabilidad en los servidores de Exchange, debe aplicar los parches lanzados por Microsoft.

• Mantener un protocolo estricto para realizar copias de seguridad de los activos de información de mayor criticidad.

• Mantener un protocolo de actualizaciones estricto de sistemas operativos, antivirus y todas las aplicaciones que se ejecutan en ellos.

• Concientizar constantemente a los usuarios en temas relacionados a seguridad informática.

• Mantener el conocimiento situacional de las últimas amenazas y zonas vulnerables de la organización.

• Bloquear los indicadores de compromisos (IOC) mostrados, en los dispositivos de seguridad de su infraestructura.

** Antes de realizar el bloqueo de IoCs o aplicar actualizaciones es importante que previamente en ambiente de desarrollo se valide y confirme a nivel de servicios, con el propósito de aplicar los cambios de manera controlada.

Para usuarios finales:

• No abrir correos electrónicos de dudosa procedencia (remitente desconocido), ni dar clic en enlaces, ni descargar archivos adjuntos desconocidos.

• Escanear todo el software descargado de Internet antes de la ejecución.

• De detectar cualquier actividad anómala en su equipo reportarlo inmediatamente a los encargados de seguridad de la información de su institución.

Fuente

• Fuente 1: Microsoft: Cuba ransomware hacking Exchange servers via OWASSRF flaw
• Fuente 2: Equipo de Anti-Fraude y Dark Web Intelligence SecureSoft

Contáctanos

Si usted tiene alguna consulta no dude en contactarse con nosotros: 

Perú:
Consultas técnicas: monitoreo_pe@securesoftcorp.com 
Consultas comerciales: ventas@securesoftcorp.com

Ecuador:
Consultas técnicas: monitoreo_ec@securesoftcorp.com
Consultas comerciales: ventas_ec@securesoftcorp.com

Colombia:
Consultas técnicas: monitoreo_co@securesoftcorp.com
Consultas comerciales: ventas_co@securesoftcorp.com

Chile:
Consultas técnicas: monitoreo_cl@securesoftcorp.com
Consultas comerciales: ventas_cl@securesoftcorp.com

​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​