# Cuba Ransomware Campaign > [!medium] Campanha Cuba 2019-2021 - Fundacao do Ecossistema COLDDRAW > A campanha inicial do [[s0625-cuba-ransomware-group|Cuba Ransomware Group]] (2019-2021) estabeleceu as bases do que se tornaria uma das operações de ransomware mais persistentes da decada. Utilizando o [[romcom-rat|RomCom RAT]] e o loader [[s0499-hancitor|Hancitor]] como vetores de acesso, o grupo comprometeu dezenas de entidades em setores financeiros, tecnológicos e logisticos na América do Norte e Europa, coletando pelo menos USD 43.9 milhões em resgates antes de expandir o arsenal em 2022. ## Visão Geral A campanha Cuba em sua fase inicial (2019-2021) foi caracterizada pelo uso consistente do **Hancitor** (também conhecido como Chanitor) como loader de primeiro estagio. O Hancitor chegava via emails de phishing ([[t1566-spearphishing|T1566]]) e, uma vez executado, deployava ou o [[romcom-rat|RomCom RAT]] ou diretamente o ransomware COLDDRAW dependendo do alvo e da fase da operação. O ransomware COLDDRAW ganhou o nome popular "Cuba" após o grupo criar um site de vazamento de dados com a bandeira cubana como branding - aparentemente uma escolha de ironia ou distracoes atribuicao, já que o grupo e avaliado como de origem **russa** baseado em múltiplos indicadores tecnicos e linguisticos. Em novembro de 2021, o grupo ressurgiu com um novo conjunto de vitimas documentadas e recebeu seu primeiro aviso oficial do FBI. Ate aquele momento, 49 entidades em cinco setores de infraestrutura critica nos EUA haviam sido comprometidas, com resgates totalizando pelo menos **USD 43.9 milhões** pagos. O arsenal inicial era relativamente padrao para ransomware corporativo desta era: [[s0154-cobalt-strike|Cobalt Strike]] BEACON para C2, [[netsupport-rat|NetSupport RAT]] para acesso remoto legivel, PsExec para movimentação lateral, e ferramentas de recon como WEDGECUT. A diferenciacao comecou a aparecer com as ferramentas proprietarias desenvolvidas pelo proprio grupo. **Plataformas:** Windows ## Attack Flow Inicial (2019-2021) ```mermaid graph TB A["Hancitor Phishing<br/>Emails com macro Word<br/>T1566 credenciais roubadas"] --> B["Acesso Inicial<br/>Hancitor dropa RAT/stealers<br/>ou RDP credentials"] B --> C["Cobalt Strike BEACON<br/>C2 via HTTPS<br/>Lateral movement fase"] C --> D["NetSupport RAT<br/>Acesso remoto legitimo<br/>Persistência adicional"] D --> E["Recon WEDGECUT<br/>ICMP ping sweep hosts<br/>Mapeamento rede interna"] E --> F["Deploy COLDDRAW<br/>Criptografia ficheiros<br/>T1486 ransom note"] classDef delivery fill:#c0392b,color:#fff classDef access fill:#d35400,color:#fff classDef c2 fill:#8e44ad,color:#fff classDef rat fill:#2c3e50,color:#fff classDef recon fill:#16a085,color:#fff classDef impact fill:#922b21,color:#fff class A delivery class B access class C c2 class D rat class E recon class F impact ``` ## Contexto e Vitimologia A fase inicial da campanha Cuba focou principalmente em **instituicoes financeiras** e empresas de **tecnologia e logistica** na América do Norte e Europa. O grupo nao discriminava por tamanho - alvos de medio e grande porte foram igualmente afetados. O modelo de extorsao evoluiu durante este período: inicialmente o grupo mantinha apenas site de vazamento para pressionar pagamentos, sem utilizar marketplaces terceiros (que vieram em 2022). A comunicação com vitimas seguia o padrao de notas de resgate com instrucoes de contato via servico de mensagem seguro. ### Ferramentas Identificadas (2019-2021) | Ferramenta | Categoria | Fonte | |------------|-----------|-------| | [[s0499-hancitor\|Hancitor]] | Loader / Initial Access | Terceiros | | [[s0154-cobalt-strike\|Cobalt Strike]] | C2 / Post-Exploitation | Comercial | | [[netsupport-rat\|NetSupport RAT]] | Acesso Remoto | Comercial | | WEDGECUT | Recon (proprietario) | Cuba Group | | BUGHATCH | Downloader (proprietario) | Cuba Group | | [[mimikatz\|Mimikatz]] | Credential Access | Open Source | | WICKER | Credential Theft | Adquirido | | PsExec | Lateral Movement | Sysinternals | ## Relevância LATAM/Brasil Embora a campanha inicial de 2019-2021 do Cuba tenha focado primariamente no mercado norte-americano e europeu, o uso do [[s0499-hancitor|Hancitor]] via phishing e relevante para o contexto brasileiro. O Hancitor chegava frequentemente disfarado de documentos financeiros, faturas e comúnicacoes empresariais - temas que ressoam fortemente em campanhas de phishing no Brasil. A evolução do grupo em 2022-2023 resultou em ataques confirmados na América Latina via [[cuba-ransomware-campaign-2022|campanha de 2022]], tornando o historico desta campanha inicial relevante para entender o perfil completo do ator antes de sua chegada ao Brasil. **Setores impactados:** [[financial|financeiro]] - [[technology|tecnologia]] - logistica - [[government|governo]] ## Detecção e Defesa - Monitorar e bloquear distribuição de Hancitor: emails com documentos Word contendo macros de domínios suspeitos - Detectar sinais de Cobalt Strike BEACON: beaconing regular para dominios recentemente registrados - Alertar para NetSupport RAT: instalacao de software de suporte remoto fora dos processos de TI normais - Monitorar WEDGECUT: ferramenta check.exe enviando ICMP para ranges de IPs internos - Bloquear execução de PsExec de diretorios suspeitos ou por usuarios nao-admin - Implementar segmentacao de rede para limitar o impacto de movimentação lateral ## Referências - [1](https://www.cisa.gov/news-events/cybersecurity-advisories/aa22-335a) CISA - Advisory AA22-335A Cuba Ransomware (2022) - [2](https://cloud.google.com/blog/topics/threat-intelligence/unc2596-cuba-ransomware) Mandiant - UNC2596 Attack Lifecycle Completo (2024) - [3](https://attack.mitre.org/software/S0625/) MITRE ATT&CK - S0625 Cuba Ransomware Profile - [4](https://thehackernews.com/2022/08/hackers-behind-cuba-ransomware-attacks.html) The Hacker News - Cuba TTPs Evolution (2022) - [5](https://www.scworld.com/news/cuba-ransomware-group-observed-exploiting-a-high-severity-veeam-bug) SC World - Cuba Group Veeam Exploitation (2024)