# UNC2596 > [!high] > Operador do ransomware Cuba (COLDDRAW), ativo desde 2019, que combina motivação financeira com possíveis atividades de espionagem. Utiliza a ferramenta BURNTCIGAR para desabilitar produtos de segurança via driver de kernel vulnerável - uma das técnicas de evasão mais avançadas observadas em grupos de ransomware. ## Visão Geral **UNC2596** é o cluster de ameaça rastreado pela Mandiant como operador principal do ransomware **Cuba** (também denominado COLDDRAW). O grupo é adicionalmente rastreado pela Palo Alto Unit 42 como **Tropical Scorpius** e pela Microsoft como **Storm-0978**. Apesar do nome "Cuba" para o ransomware, não há evidência de nexo cubano - o nome é derivado de uma mensagem deixada nos sistemas comprometidos. O diferencial tático do UNC2596 é a capacidade técnica avançada de evasão de defesas: o grupo desenvolveu **BURNTCIGAR**, uma ferramenta que explora drivers de kernel assinados vulneráveis para desabilitar produtos de segurança de endpoint (EDR/AV) em nível de kernel - uma técnica denominada BYOVD (Bring Your Own Vulnerable Driver). Esta capacidade, tipicamente associada a APTs estatais, é incomum em grupos ransomware. O grupo também se distingue pela combinação de motivações: além de ransomware/extorsão, evidências sugerem atividades de espionagem paralelas, possívelmente coletando inteligência de valor para um estado-nação enquanto conduz operações financeiras. O [[romcom-rat|RomCom RAT]] utilizado pelo grupo para C2 foi ligado a operações contra alvos na Ucrânia e organizações da NATO - sugerindo conexões com grupos de espionagem. ## Attack Flow e Técnicas Observadas ```mermaid graph TB A["🌐 Exploração Inicial<br/>ProxyShell CVE-2021-34473<br/>ProxyLogon CVE-2021-26855"] --> B["🐛 Acesso via Email<br/>Exchange Server<br/>Web Shell deploy"] B --> C["🔓 Escalada de Privilégio<br/>CVE-2022-24521 CLFS<br/>ZeroLogon CVE-2020-1472"] C --> D["🛡️ BURNTCIGAR<br/>Desabilita AV/EDR<br/>Driver kernel vulnerável"] D --> E["🔑 Reconhecimento<br/>WEDGECUT enumeração<br/>Credenciais via BUGHATCH"] E --> F["📤 Exfiltração + Ransom<br/>COLDDRAW criptografia<br/>CUBA-LEAKS extorsão"] classDef exploit fill:#7b1c1c,color:#fff,stroke:#a02020 classDef priv fill:#4f0d1a,color:#fca5a5,stroke:#ef4444 classDef evade fill:#1c4a7b,color:#bfdbfe,stroke:#3b82f6 classDef recon fill:#1a3a1a,color:#86efac,stroke:#22c55e classDef exfil fill:#4f3d0d,color:#fde68a,stroke:#f59e0b class A,B exploit class C priv class D evade class E recon class F exfil ``` | Técnica | ID | Uso | |---------|-----|-----| | Exploit Public-Facing Application | [[t1190-exploit-public-facing-application\|T1190]] | ProxyShell/ProxyLogon no Exchange | | Process Injection | [[t1055-process-injection\|T1055]] | Injeção em processos legítimos | | Impair Defenses | [[t1562-001-impair-defenses-disable-or-modify-tools\|T1562.001]] | BURNTCIGAR - desabilita EDR/AV via kernel | | Data Encrypted for Impact | [[t1486-data-encrypted-for-impact\|T1486]] | COLDDRAW ransomware | | Valid Accounts | [[t1078-valid-accounts\|T1078]] | Uso de credenciais capturadas | ## Arsenal de Ferramentas ```mermaid graph TB subgraph Evasion["Evasão Avançada"] A["BURNTCIGAR<br/>Driver kernel BYOVD<br/>Desabilita segurança"] B["TERMITE<br/>In-memory dropper<br/>Sem arquivo no disco"] end subgraph Recon["Reconhecimento e Acesso"] C["WEDGECUT<br/>Enumeração de hosts<br/>Mapeamento de rede"] D["BUGHATCH<br/>Downloader leve<br/>Payload staging"] end subgraph C2["Comando e Controle"] E["RomCom RAT<br/>C2 customizado<br/>Operações espionagem"] F["Cobalt Strike BEACON<br/>Framework ofensivo<br/>Lateral movement"] end subgraph Extortion["Extorsão"] G["COLDDRAW<br/>Cuba Ransomware<br/>Criptografia"] H["CUBA-LEAKS<br/>Site de publicação<br/>Pressão de pagamento"] end A --> G classDef evade fill:#1c4a7b,color:#bfdbfe,stroke:#3b82f6 classDef recon fill:#1a3a1a,color:#86efac,stroke:#22c55e classDef c2 fill:#0d3b4f,color:#7dd3fc,stroke:#0ea5e9 classDef ransom fill:#4f0d1a,color:#fca5a5,stroke:#ef4444 class A,B evade class C,D recon class E,F c2 class G,H ransom ``` ## CVEs Explorados | CVE | CVSS | Produto | Tipo | |-----|------|---------|------| | [[cve-2021-34473\|CVE-2021-34473]] | 9.8 | Microsoft Exchange | RCE (ProxyShell) | | [[cve-2021-26855\|CVE-2021-26855]] | 9.8 | Microsoft Exchange | SSRF (ProxyLogon) | | [[cve-2022-24521\|CVE-2022-24521]] | 7.8 | Windows CLFS | Escalada de privilégio | | [[cve-2020-1472\|CVE-2020-1472]] | 10.0 | Windows Netlogon | ZeroLogon | ## Relevância para o Brasil e LATAM > [!latam] > O UNC2596 representa ameaça real para o Brasil. O grupo tem alvejado infraestrutura crítica e setor financeiro globalmente, e 101+ organizações foram comprometidas até agosto de 2022 - incluindo vítimas não divulgadas. A técnica BYOVD (BURNTCIGAR) pode contornar soluções EDR utilizadas no mercado brasileiro. O setor [[financial|financeiro]] e [[government|governo]] brasileiro utilizam Microsoft Exchange amplamente - o vetor de acesso inicial preferêncial do grupo. Organizações que não aplicaram patches ProxyShell/ProxyLogon em 2021 podem estar persistentemente comprometidas. A conexão do [[romcom-rat|RomCom RAT]] com operações contra a Ucrânia e NATO sugere que o UNC2596 pode ter vínculos com inteligência estatal russa, tornando-o um ator de dupla motivação mais perigoso que grupos ransomware puramente financeiros. ## Referências - [1](https://www.mandiant.com/resources/blog/unc2596-cuba-ransomware) Mandiant - UNC2596 COLDDRAW Cuba Ransomware (2021) - [2](https://unit42.paloaltonetworks.com/tropical-scorpius/) Palo Alto Unit 42 - Tropical Scorpius Cuba Ransomware (2022) - [3](https://www.cisa.gov/news-events/cybersecurity-advisories/aa22-335a) CISA/FBI - Cuba Ransomware Advisory (2022) - [4](https://www.microsoft.com/en-us/security/blog/2022/07/06/storm-0978-attacks-reveal-financial-and-espionage-motives/) Microsoft - Storm-0978 Financial and Espionage Motives (2022)