# Cuba Ransomware > [!danger] Ransomware de Dupla Extorsão com Histórico CISA/FBI > Cuba Ransomware é uma operação de Ransomware-as-a-Service ativa desde 2019, associada ao grupo Tropical Scorpius. Responsável por mais de 100 organizações comprometidas em setores críticos dos EUA e LATAM, com pedidos de resgate superiores a 145 milhões USD. ## Visão Geral Cuba Ransomware - também conhecido como COLDDRAW ou Fidel - é uma família de ransomware identificada pelo MITRE como S0625. Apesar do nome, não há evidências de conexão com Cuba; o grupo usa a bandeira cubana como branding irônico. A operação funciona como RaaS (Ransomware-as-a-Service), com afiliados recrutados e infraestrutura gerenciada pelo grupo Tropical Scorpius. O grupo ficou conhecido por sua relação simbiótica com o loader [[s0499-hancitor]], que era usado para entrega inicial do ransomware em campanhas de phishing. Pesquisadores da Palo Alto Unit 42 documentaram em 2022 a conexão com [[romcom-rat]], sugerindo um ecossistema de ferramentas compartilhado. O FBI e CISA emitiram alertas conjuntos em dezembro de 2021 e agosto de 2022 sobre a ameaça. O diferencial técnico do Cuba é sua capacidade de criptografia parcial - cifrando apenas os primeiros blocos do arquivo para acelerar o ataque - combinada com técnicas de exfiltração antes da criptografia (dupla extorsão). O grupo mantém um site de vazamentos onde pública dados de vítimas que recusam pagar. No contexto LATAM, o ransomware Cuba tem sido observado afetando empresas de infraestrutura crítica, manufatura e serviços financeiros no Brasil e outros países da região, alinhado com o padrão global de alvos do grupo. ## Attack Flow ```mermaid graph TB A["📧 Phishing via Hancitor<br/>Documentos Office com macro"] --> B["💉 Dropper do Hancitor<br/>Execução na memória"] B --> C["🔗 Conexão C2<br/>Download Cuba DLL"] C --> D["⚙️ DLL Side-Loading<br/>Processo legítimo como host"] D --> E["🔍 Reconhecimento Interno<br/>ADFind, NetScan, NetScan"] E --> F["🔑 Coleta de Credenciais<br/>LSASS dump, LDAP queries"] F --> G["↔️ Movimento Lateral<br/>PSExec, WMI, RDP"] G --> H["📤 Exfiltração de Dados<br/>Para servidor Cuba antes de cifrar"] H --> I["🔒 Criptografia Cuba<br/>AES-256 + RSA, extensão .cuba"] I --> J["💰 Nota de Resgate<br/>!! Cuba - Readme.txt !!"] ``` *Atores relacionados: [[tropical-scorpius]] · [[s0499-hancitor]] · [[romcom-rat]]* ## Técnicas MITRE ATT&CK | ID | Técnica | Fase | Descrição | |----|---------|------|-----------| | T1566 | Phishing | Acesso Inicial | Entrega via Hancitor em emails de phishing | | T1190 | Exploit Public-Facing App | Acesso Inicial | Exploração de CVE-2022-24521 (Windows CLFS) | | T1574.002 | DLL Side-Loading | Evasão | Carregamento de DLL maliciosa via processo legítimo | | T1078 | Valid Accounts | Persistência | Uso de credenciais comprometidas via LSASS dump | | T1486 | Data Encrypted for Impact | Impacto | Criptografia AES-256 com extensão .cuba | | T1489 | Service Stop | Impacto | Interrupção de serviços de backup e AV antes de cifrar | | T1041 | Exfiltration Over C2 | Exfiltração | Dados enviados ao servidor Cuba antes da criptografia | | T1059 | Command and Scripting | Execução | PowerShell e cmd.exe para lateral movement | ## Diagrama de Relacionamentos ```mermaid graph TB subgraph Operadores TS["Tropical Scorpius<br/>Grupo Operador"] AF["Afiliados RaaS<br/>Terceiros recrutados"] end subgraph Ferramentas HAN["Hancitor<br/>Loader inicial"] ROM["RomCom RAT<br/>Backdoor secundário"] CUB["Cuba Ransomware<br/>Payload final"] end subgraph Exploits CVE1["CVE-2022-24521<br/>Windows CLFS Driver"] CVE2["CVE-2023-27532<br/>Veeam Backup"] end TS --> CUB AF --> CUB HAN --> CUB ROM --> CUB CVE1 --> TS CVE2 --> TS ``` *Técnicas: [[t1566-phishing|T1566]] · [[t1190-exploit-public-facing-application|T1190]] · [[t1486-data-encrypted-for-impact|T1486]]* ## Impacto e Alvos O FBI relatou em 2022 que o Cuba Ransomware comprometeu mais de 100 entidades em setores críticos nos Estados Unidos e internacionalmente, gerando mais de 145 milhões USD em demandas de resgate. Os setores mais afetados incluem: - Infraestrutura crítica (energia, água, transporte) - Serviços financeiros e bancário - Governo e setor público - Saúde e manufatura O grupo explorou ativamente a vulnerabilidade [[cve-2022-24521|CVE-2022-24521]] no driver Windows Common Log File System (CLFS) para escalada de privilégios, e [[cve-2023-27532|CVE-2023-27532]] no Veeam Backup & Replication para movimentação lateral em ambientes com backups corporativos. ## Detecção e Defesa **Indicadores comportamentais:** - Processo legítimo carregando DLL de diretório suspeito (T1574.002) - Acesso em massa ao LSASS via ferramentas como Mimikatz - Enumeração de rede via ADFind, NetScan - Extensão `.cuba` em arquivos cifrados - Arquivo `!! Cuba - Readme.txt` como nota de resgate **Mitigações recomendadas:** - Aplicar patches imediatos para [[cve-2022-24521|CVE-2022-24521]] e [[cve-2023-27532|CVE-2023-27532]] - Implementar [[m1030-network-segmentation|segmentação de rede]] para limitar movimento lateral - Monitorar acesso ao LSASS com [[m1043-credential-access-protection|proteção de credenciais]] - Backups offline testados regularmente, isolados da rede - EDR com detecção comportamental para DLL side-loading - [[m1049-antivirus-antimalware|AV/EDR]] atualizado com assinaturas Cuba **Regras de detecção:** - Sigma: `win_susp_dll_sideload` para DLL loading suspeito - YARA disponível em repositórios públicos para assinaturas Cuba - Evento Windows 4624/4625 para uso de credenciais comprometidas em massa ## Referências - [1](https://www.cisa.gov/news-events/cybersecurity-advisories/aa22-335a) CISA/FBI - Cuba Ransomware Advisory AA22-335A (2022) - [2](https://unit42.paloaltonetworks.com/cuba-ransomware-tropical-scorpius/) Palo Alto Unit 42 - Cuba Ransomware and the Connections to Tropical Scorpius (2022) - [3](https://attack.mitre.org/software/S0625/) MITRE ATT&CK - Cuba Ransomware S0625 (2023) - [4](https://www.ic3.gov/Media/News/2021/211203.pdf) FBI - Cuba Ransomware Flash Alert (2021) - [5](https://www.bleepingcomputer.com/news/security/fbi-cuba-ransomware-gang-made-60-million-from-attacking-100-victims/) BleepingComputer - Cuba Ransomware Gang Made $60M (2022)