{ "id": "c431c82c-39d0-42ac-afc8-18539aad0190", "created_at": "2026-04-10T03:21:11.13244Z", "updated_at": "2026-04-10T03:22:16.736465Z", "deleted_at": null, "sha1_hash": "16fe33fa7f6e56fa60dd47eafb7270d097490331", "title": "Le ransomware Cuba s’en prend aux serveurs Exchange | IT-Connect", "llm_title": "", "authors": "", "file_creation_date": "0001-01-01T00:00:00Z", "file_modification_date": "0001-01-01T00:00:00Z", "file_size": 119492, "plain_text": "Le ransomware Cuba s’en prend aux serveurs Exchange | IT-Connect\r\nBy Florian BURNEL\r\nPublished: 2022-02-25 · Archived: 2026-04-10 02:43:24 UTC\r\nLe ransomware Cuba exploite des vulnérabilités connues au sein de Microsoft Exchange pour obtenir un\r\naccès au réseau d'entreprises et chiffrer les machines une fois l'infrastructure compromise.\r\nL'entreprise spécialisée en sécurité Mandiant, suit de près les activités du gang UNC2596 et de leur ransomware\r\nnommé COLDDRAW, bien connu sous le nom de Cuba. Il n'est pas nouveau puisqu'il est en activité depuis la fin\r\n2019, et en 2021 il s'est montré particulièrement actif. À tel point que le FBI a émis un bulletin de sécurité au sujet\r\ndu ransomware Cuba car ses auteurs ont compromis 49 organisations critiques aux États-Unis.\r\nD'ailleurs, d'après le rapport de la société Mandiant, on peut voir qu'il agit surtout aux États-Unis et au Canada. Sa\r\nprésence en Europe est relativement faible, mais il n'est pas à exclure que cela évolue.\r\nhttps://www.it-connect.fr/le-ransomware-cuba-sen-prend-aux-serveurs-exchange/\r\nPage 1 of 3\n\nLorsque le serveur est compromis, une porte dérobée est installée sur le serveur, en s'appuyant sur deux outils :\r\nCobalt Strike et NetSupport Manager, un logiciel de prise en main à distance. En complément, les pirates utilisent\r\nleurs propres outils :\r\nBughatch : téléchargement de fichiers à partir du serveur Command \u0026 Control\r\nWedgecut : énumération de l'Active Directory à partir de commandes PowerShell\r\nBurntcigar : un outil capable de terminer n'importe quel processus au niveau du noyau en exploitant une\r\nfaille de sécurité\r\nPour effectuer des mouvements latéraux sur l'infrastructure de la victime, ils s'appuient sur différentes méthodes et\r\noutils : RDP, SMB, PsExec et Cobalt Strike. Enfin, des données peuvent être exfiltrées vers la propre\r\ninfrastructure des pirates, et non pas vers des services Cloud, avant que les données soient chiffrées par le\r\nransomware Cuba.\r\nQuelles sont les vulnérabilités utilisées ?\r\nLorsque l'on évoque la compromission d'un serveur de messagerie Exchange, il y a deux noms qui ressortent à\r\nchaque fois depuis l'année dernière : ProxyShell et ProxyLogon. Bingo ! Ces deux ensembles de vulnérabilités\r\nsont exploités par le gang UNC2596 afin de compromettre les serveurs Exchange.\r\nD'ailleurs, ces failles de sécurité font partie du top 10 des vulnérabilités de 2021 selon l'ANSSI, et cela se\r\nconfirme une fois de plus qu'elles sont très appréciées par les pirates. Il y a fort à parier qu'il existe encore des\r\nserveurs Exchange vulnérables un peu partout dans le monde, alors c'est l'occasion de faire une piqure de rappel\r\nsur la nécessité d'installer les correctifs disponibles depuis plusieurs mois.\r\nhttps://www.it-connect.fr/le-ransomware-cuba-sen-prend-aux-serveurs-exchange/\r\nPage 2 of 3\n\nSource\r\nIngénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP \"Cloud and Datacenter Management\".\r\nJe souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance\r\nparticulière pour les solutions Microsoft et le scripting. Bonne lecture.\r\nSource: https://www.it-connect.fr/le-ransomware-cuba-sen-prend-aux-serveurs-exchange/\r\nhttps://www.it-connect.fr/le-ransomware-cuba-sen-prend-aux-serveurs-exchange/\r\nPage 3 of 3", "extraction_quality": 1, "language": "FR", "sources": [ "Malpedia" ], "references": [ "https://www.it-connect.fr/le-ransomware-cuba-sen-prend-aux-serveurs-exchange/" ], "report_names": [ "le-ransomware-cuba-sen-prend-aux-serveurs-exchange" ], "threat_actors": [], "ts_created_at": 1775791271, "ts_updated_at": 1775791336, "ts_creation_date": 0, "ts_modification_date": 0, "files": { "pdf": "https://archive.orkl.eu/16fe33fa7f6e56fa60dd47eafb7270d097490331.pdf", "text": "https://archive.orkl.eu/16fe33fa7f6e56fa60dd47eafb7270d097490331.txt", "img": "https://archive.orkl.eu/16fe33fa7f6e56fa60dd47eafb7270d097490331.jpg" } }