# Cuba Ransomware Campaign 2022 > [!high] Escalada Massiva Cuba - 101 Vitimas e Novos TTPs com RomCom RAT > A **campanha Cuba de 2022** representou uma escalada significativa das operações do [[s0625-cuba-ransomware-group|Cuba Ransomware Group]], dobrando o número de vitimas americanas e introduzindo novos TTPs criticos. O FBI e CISA emitiram o Advisory AA22-335A em dezembro de 2022 documentando a expansao: 101 entidades comprometidas (65 nos EUA), adicao do [[romcom-rat|RomCom RAT]] ao arsenal, exploração da vulnerabilidade **CVE-2022-24521** no Windows CLFS, e a técnica BYOVD com driver assinado usando o certificado vazado da NVIDIA/LAPSUS$. ## Visão Geral A campanha Cuba de 2022 marcou uma inflexao nas operações do [[s0625-cuba-ransomware-group|grupo Cuba]] (Tropical Scorpius / UNC2596). A partir da primavera de 2022, o grupo modificou substancialmente seus TTPs e ferramentas, conforme documentado pela Unit 42 da Palo Alto Networks e confirmado pelo joint advisory FBI/CISA de dezembro de 2022. As mudanças mais significativas incluiram: **Adicao do RomCom RAT ao arsenal:** O grupo comecou a usar o [[romcom-rat|RomCom RAT]] como ferramenta de C2 customizado, evidênciando uma possível colaboracao com os operadores do RomCom ou integracao direta destes ao grupo Cuba. O RomCom e um RAT capaz de reverse shell, deletar arquivos, upload de dados e coleta de processos em execução. **Técnica BYOVD com NVIDIA:** O grupo deployou um dropper que escrevia um driver kernel chamado `ApcHelper.sys` no sistema de arquivos. O kernel driver nao era assinado pelo grupo, mas **utilizava o certificado da NVIDIA vazado pelo LAPSUS$** para parecer legitimo e bypassar verificacoes de assinatura. O objetivo era terminar processos de software de segurança. **Exploração CVE-2022-24521:** Vulnerabilidade no Windows Common Log File System (CLFS) driver, corrigida pela Microsoft como zero-day em abril de 2022, explorada para roubo de tokens de sistema e escalada para SYSTEM. **Marketplace Industrial Spy:** Por volta de maio de 2022, o grupo comecou a vender dados exfiltrados no marketplace Industrial Spy em vez de apenas no proprio site de vazamento, expandindo a monetização dos ataques. **Plataformas:** Windows (servidores Exchange, infraestrutura critica) ## Attack Flow 2022 ```mermaid graph TB A["Acesso Inicial<br/>Hancitor loader / phishing<br/>T1566 + creds RDP T1078"] --> B["Exchange Webshells<br/>ProxyShell exploitation<br/>Foothold inicial"] B --> C["BURNTCIGAR + ApcHelper<br/>NVIDIA cert LAPSUS<br/>T1562.001 mata segurança"] C --> D["CVE-2022-24521 CLFS<br/>Escala para SYSTEM<br/>T1068 token theft"] D --> E["Kerberoasting + KerberCache<br/>Scripts PowerShell contas svc<br/>T1558.003 LSASS T1003.001"] E --> F["RomCom RAT C2<br/>Lateral movement Impacket<br/>T1090 proxy + T1021"] F --> G["Cuba COLDDRAW<br/>Criptografia + Industrial Spy<br/>T1486 dupla extorsao"] classDef access fill:#c0392b,color:#fff classDef foot fill:#d35400,color:#fff classDef evasion fill:#2c3e50,color:#fff classDef priv fill:#8e44ad,color:#fff classDef cred fill:#16a085,color:#fff classDef lateral fill:#2980b9,color:#fff classDef impact fill:#922b21,color:#fff class A access class B foot class C evasion class D priv class E cred class F lateral class G impact ``` ## Vitimologia e Impacto O FBI documentou que, até agosto de 2022, o grupo Cuba havia comprometido: - **65 entidades nos Estados Unidos** em 5 setores de infraestrutura critica - **36 entidades fora dos EUA** em paises da América do Norte, Europa e América do Sul - **Total: 101 organizacoes** comprometidas Os setores atingidos incluiram financeiro, governo, saúde, manufatura e tecnologia da informação. O grupo usou modelo de dupla extorcao em todos os casos: criptografando dados localmente enquanto exfiltrava copias para ameaçar públicacao em caso de nao pagamento. ## Novos TTPs Documentados em 2022 | Inovacao | Descrição | Impacto | |----------|-----------|---------| | [[romcom-rat\|RomCom RAT]] | RAT customizado para C2 adicionado ao arsenal | Persistência avancada | | BYOVD ApcHelper.sys | Driver kernel com cert NVIDIA/LAPSUS$ | Bypass completo de EDR | | [[cve-2022-24521\|CVE-2022-24521]] | Exploração CLFS para SYSTEM token | Escalada imediata | | KerberCache | Extrai tickets Kerberos do LSASS | Credential access lateral | | Industrial Spy | Marketplace alternativo para dados roubados | Monetização expandida | | Meterpreter proxy | C2 via HTTP/HTTPS reverso | Persistência redundante | ## Relevância LATAM/Brasil > [!latam] Relevância para o Brasil e LATAM > O advisory FBI/CISA de dezembro de 2022 confirma **36 entidades fora dos EUA** comprometidas, incluindo um integrador de TI na **América Latina**. A campanha de 2022 estabeleceu os TTPs que o grupo usaria em ataque LATAM de 2023 via **CVE-2023-27532 do Veeam**. O vetor via **Hancitor loader** com temas fiscais e financeiros é facilmente localizado para português brasileiro. Setores como **financeiro**, **governo**, **saúde** e **logística** no Brasil enquadram-se diretamente no perfil de alvos documentados. O advisory FBI/CISA de dezembro de 2022 e o relatorio da Arctic Wolf de 2023 confirmam que o grupo Cuba operou contra entidades fora dos EUA, incluindo um integrador de TI na **América Latina**. A campanha de 2022 estabeleceu a infraestrutura e os TTPs que o grupo usaria no ataque LATAM de 2023 via CVE-2023-27532 do Veeam. O vetor via **Hancitor loader** (que chegava via phishing de conteudo relacionado a COVID-19 e assuntos financeiros) e relevante no contexto brasileiro, onde emails de phishing com temas fiscais e bancarios sao o vetor mais comum de acesso inicial. **Setores impactados:** [[financial|financeiro]] - [[government|governo]] - [[healthcare|saúde]] - [[technology|tecnologia]] - logistica ## Detecção e Defesa - Patch imediato de CVE-2022-24521 no Windows CLFS (já corrigido em abril 2022) - Monitorar instalacao de drivers kernel nao usuais - especialmente com certificados de terceiros - Revogar e bloquear certificados da NVIDIA comprometidos pelo LAPSUS$ - Detectar `ApcHelper.sys` - nome de arquivo IOC específico desta campanha - Implementar Credential Guard para proteger o LSASS de acesso nao autorizado - Monitorar tickets Kerberos: alertar para solicitacoes de tickets de servico incomuns (Kerberoasting) - Inspecionar webshells em Exchange: varrer regularmente a pasta wwwroot por arquivos ASPX/PHP nao reconhecidos ## Referências - [1](https://www.ic3.gov/CSA/2022/221201-2.pdf) FBI/CISA - Advisory AA22-335A Cuba Ransomware (2022) - [2](https://thehackernews.com/2022/08/hackers-behind-cuba-ransomware-attacks.html) The Hacker News - Cuba RomCom RAT Link Documentado (2022) - [3](https://cloud.google.com/blog/topics/threat-intelligence/unc2596-cuba-ransomware) Mandiant - UNC2596 Cuba Ransomware Lifecycle (2024) - [4](https://arcticwolf.com/resources/blog/cuba-ransomware-deploys-new-tools-targets-critical-infrastructure-sector-in-the-usa/) Arctic Wolf - Cuba 2023 LATAM Target (2023) - [5](https://attack.mitre.org/software/S0625/) MITRE ATT&CK - S0625 Cuba Software Profile