Ransomware de Cuba explora vulnerabilidade SSRF da Microsoft

O ransomware Cuba, um dos grupos de ransomware mais ativos nos últimos anos, foi identificado explorando uma vulnerabilidade de Server-Side Request Forgery (SSRF) em produtos da Microsoft para comprometer redes corporativas. Esta vulnerabilidade permite que atacantes façam requisições a partir do servidor comprometido, acessando recursos internos que normalmente estariam protegidos.

Neste artigo, explicamos os detalhes dessa campanha, como o grupo Cuba opera, o que é uma vulnerabilidade SSRF, como ela é explorada, os impactos para as organizações e as medidas de mitigação recomendadas.

O que é o Ransomware Cuba?

O ransomware Cuba é uma cepa de malware que criptografa arquivos e exige pagamento de resgate para descriptografá-los. O grupo surgiu por volta de 2019 e desde então tem como alvo grandes empresas e órgãos governamentais em todo o mundo. Diferente de outros grupos, o Cuba mantém um site de vazamento de dados (data leak site) onde publica informações roubadas de vítimas que não pagam o resgate, aumentando a pressão sobre as organizações.

O grupo é conhecido por utilizar uma variedade de técnicas de acesso inicial, incluindo exploração de vulnerabilidades em sistemas expostos, spear-phishing e uso de credenciais comprometidas. Uma vez dentro da rede, o Cuba realiza movimentação lateral, rouba dados confidenciais e implanta o ransomware.

O que é uma vulnerabilidade SSRF?

Server-Side Request Forgery (SSRF) é uma vulnerabilidade de segurança que permite a um atacante enviar requisições HTTP a partir do servidor da aplicação vulnerável. Essas requisições podem ser direcionadas a sistemas internos da rede, como serviços de nuvem, bancos de dados, APIs ou outros servidores que normalmente não seriam acessíveis externamente. A SSRF é especialmente perigosa em aplicações que processam URLs fornecidas pelo usuário sem validação adequada.

Em produtos Microsoft, como Exchange Server e SharePoint, já foram identificadas diversas vulnerabilidades SSRF ao longo dos anos. A exploração bem-sucedida pode levar ao comprometimento completo do servidor e da infraestrutura associada.

Como o Cuba explora a SSRF da Microsoft?

De acordo com relatórios de inteligência de ameaças, o grupo Cuba tem utilizado uma vulnerabilidade SSRF para obter acesso inicial a redes de organizações-alvo. A exploração geralmente começa com o envio de uma requisição maliciosa a um servidor Microsoft Exchange vulnerável. A SSRF permite que o atacante contorne o firewall e acesse recursos internos, como o controlador de domínio ou servidores de autenticação.

Uma vez que o atacante consegue se movimentar lateralmente, ele implanta ferramentas de pós-exploração, como Cobalt Strike, para estabelecer persistência. Em seguida, o ransomware Cuba é executado, criptografando arquivos e exibindo notas de resgate. O grupo também exfiltra dados antes da criptografia, ameaçando vazar as informações se o resgate não for pago.

Impactos do ataque

Os impactos de um ataque de ransomware Cuba mediado por SSRF podem ser severos:

  • Perda de dados: Arquivos corporativos críticos podem ser criptografados, impossibilitando o acesso.
  • Interrupção operacional: Sistemas essenciais ficam offline, causando paralisação das atividades.
  • Danos financeiros: Além do resgate, há custos com recuperação, multas regulatórias e perda de negócios.
  • Danos à reputação: A exposição de dados confidenciais pode minar a confiança de clientes e parceiros.
  • Risco legal: Vazamento de dados pode violar leis de privacidade, como a LGPD no Brasil.

As organizações afetadas podem levar semanas ou meses para se recuperar completamente.

Mitigação e recomendações

Para reduzir o risco de exploração de SSRF e ataques de ransomware como o Cuba, as seguintes medidas são recomendadas:

  1. Mantenha os sistemas atualizados: Aplique patches de segurança da Microsoft assim que disponíveis. Vulnerabilidades SSRF conhecidas já foram corrigidas.
  2. Segmente a rede: Isole servidores críticos (como controladores de domínio) em redes separadas com firewalls rigorosos.
  3. Implemente autenticação multifator (MFA): Dificulta o uso de credenciais roubadas.
  4. Utilize soluções de segurança: EDR, firewalls de aplicação web (WAF), e sistemas de detecção de intrusão.
  5. Monitore logs: Fique atento a requisições HTTP suspeitas, especialmente aquelas que se originam de servidores internos para endereços externos.
  6. Realize backups regulares offline: Garanta que os backups não sejam acessíveis pela rede comprometida.
  7. Treine funcionários: Conscientize sobre phishing e engenharia social.
  8. Plano de resposta a incidentes: Tenha um plano testado para agir rapidamente em caso de ataque.

Perguntas frequentes (FAQ)

O que é o ransomware Cuba?

É uma variante de ransomware que criptografa arquivos e exige resgate. O grupo opera desde 2019 e é conhecido por atacar grandes organizações.

Como o Cuba explora a SSRF?

O grupo envia requisições SSRF a servidores Microsoft Exchange vulneráveis, ganhando acesso a recursos internos para implantar o ransomware.

Quais versões do Exchange são vulneráveis?

A Microsoft lançou patches para diversas vulnerabilidades SSRF. É necessário verificar as atualizações mais recentes.

O que fazer se minha organização for atacada?

Isole os sistemas infectados, acione a equipe de segurança, não pague o resgate, colete evidências e contate as autoridades.

A LGPD se aplica nesses casos?

Sim, se dados pessoais forem comprometidos, a organização pode ser responsabilizada, devendo notificar a ANPD e os titulares.

O ransomware Cuba continua a ser uma ameaça persistente, e a exploração de vulnerabilidades SSRF demonstra a evolução das táticas dos atacantes. As organizações devem adotar uma postura proativa de segurança, mantendo sistemas atualizados e implementando defesas em camadas. A conscientização e o preparo são fundamentais para mitigar os riscos.