cuba - RunkIntel

# Cuba > Tipo: **malware** · S0625 · [MITRE ATT&CK](https://attack.mitre.org/software/S0625) ## Descrição [[cuba|Cuba]] é uma família de ransomware baseada em Windows em operação desde pelo menos dezembro de 2019, com foco documentado em instituições financeiras, organizações de tecnologia e empresas de logística na América do Norte, América do Sul e Europa. Apesar do nome, o grupo não possui relação identificada com Cuba - a nomenclatura é adotada pelo próprio malware em arquivos e notas de resgaté. O [[cuba|Cuba]] é distribuído via afiliados e tem sido frequentemente entregue por brokers de acesso inicial, incluindo o uso do malware [[buer-loader|Buer]] como dropper. O [[cuba|Cuba]] implementa um conjunto robusto de técnicas pré-criptografia: utiliza [[t1056-001-keylogging|keylogging]] para captura de credenciais, realiza [[t1083-file-and-directory-discovery|descoberta de arquivos]], identifica [[t1135-network-share-discovery|compartilhamentos de rede]] para maximizar o alcance da criptografia, e verifica o idioma do sistema via [[t1614-001-system-language-discovery|System Language Discovery]] - excluindo países da CEI de sua lista de alvos. A criptografia dos dados ocorre via [[t1486-data-encrypted-for-impact|Data Encrypted for Impact]], com uso de [[t1620-reflective-code-loading|Reflective Code Loading]] para evasão de defesas e suporte a múltiplas opções de execução via [[t1059-001-powershell|PowerShell]] e [[t1059-003-windows-command-shell|Windows Command Shell]]. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1680-local-storage-discovery|T1680 - Local Storage Discovery]] - [[t1543-003-windows-service|T1543.003 - Windows Service]] - [[t1027-002-software-packing|T1027.002 - Software Packing]] - [[t1106-native-api|T1106 - Native API]] - [[t1614-001-system-language-discovery|T1614.001 - System Language Discovery]] - [[t1486-data-encrypted-for-impact|T1486 - Data Encrypted for Impact]] - [[t1135-network-share-discovery|T1135 - Network Share Discovery]] - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - [[t1070-004-file-deletion|T1070.004 - File Deletion]] - [[t1620-reflective-code-loading|T1620 - Reflective Code Loading]] - [[t1059-001-powershell|T1059.001 - PowerShell]] - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1056-001-keylogging|T1056.001 - Keylogging]] - [[t1027-obfuscated-files-or-information|T1027 - Obfuscated Files or Information]] ## Referências - [MITRE ATT&CK - S0625](https://attack.mitre.org/software/S0625)