# Cuba Ransomware > Tipo: **ransomware** · S0625 · [MITRE ATT&CK](https://attack.mitre.org/software/S0625) ## Visão Geral [[cubaransomware|Cuba Ransomware]] (também conhecido como COLDDRAW e Fidel) e um ransomware utilizado pelo grupo [[tropical-scorpius|Tropical Scorpius]], operador de ameaças de origem russa ativo desde pelo menos dezembro de 2019. Apesar do nome, nao possui relacao com Cuba - o nome e provavelmente usado como provocacao ou desinformação, e a presenca de uma palavra russa ("komar" - mosquito) nos path de debug do malware sugere desenvolvimento russo. O [[tropical-scorpius|Tropical Scorpius]] demonstrou capacidade técnica crescente ao longo dos anos: o arsenal evoluiu de um ransomware simples para um ecossistema completo com ferramentas customizadas (BUGHATCH downloader, BURNTCIGAR antimalware killer), uso de BYOVD (Bring Your Own Vulnerable Driver) para desabilitar EDRs com drivers assinados vazados, exploração de CVEs criticos (CVE-2022-24521, CVE-2020-1472 ZeroLogon, CVE-2023-27532 Veeam) e novo RAT [[romcom-rat|ROMCOM RAT]]. Em 2023, o grupo foi documentado atacando alvos de infraestrutura critica nos EUA e uma empresa de TI integradora na América Latina. O modelo de double extortion do Cuba: exfiltrar dados sensiveis (documentos financeiros, registros bancarios, códigos-fonte), criptografar com Xsalsa20/ChaCha20 + RSA-2048, e públicar no site de vazamento caso o resgaté nao sejá pago em tres dias. **Plataformas:** Windows ## Como Funciona O ciclo de ataque do Cuba evoluiu significativamente entre 2019 e 2023: **Acesso Inicial:** Exploração de servicos remotos expostos (Exchange ProxyLogon/ProxyShell), credenciais RDP comprometidas, Initial Access Brokers, e exploração da vulnerabilidade Veeam CVE-2023-27532 para roubo de credenciais de configuração. **Staging (BUGHATCH):** O downloader BUGHATCH e deployado em memoria via PowerShell ou DLLs MFC especializadas, conectando ao C2 e baixando payloads adicionais (Cobalt Strike Beacon, Metasploit, ROMCOM RAT). **Evasão (BURNTCIGAR + BYOVD):** O BURNTCIGAR termina processos de segurança no kernel usando drivers vulneraveis assinados (aswArPot.sys, KApcHelper_x64.sys, procexp152.sys). Timestamps de compilacao sao adulterados para enganar investigadores. **Exfiltração e Impacto:** Reconhecimento com ADFind e NetScan, movimentação lateral, exfiltração de dados sensiveis, e deployment do encryptor COLDDRAW com extensao `.cuba`. ## Attack Flow ```mermaid graph TB A["🔓 Acesso Inicial<br/>Exchange ProxyShell<br/>Veeam CVE-2023-27532"] --> B["💉 BUGHATCH staging<br/>Downloader em memoria<br/>T1055 Process Injection"] B --> C["🛡 BYOVD evasão<br/>BURNTCIGAR kill EDR<br/>Drivers assinados vuln."] C --> D["🔍 Reconhecimento<br/>ADFind, NetScan<br/>ZeroLogon escalacao"] D --> E["📤 Exfiltração<br/>Docs financeiros<br/>Códigos-fonte"] E --> F["🔒 COLDDRAW encrypt<br/>Xsalsa20+RSA-2048<br/>Extensao .cuba"] classDef access fill:#e74c3c,color:#fff classDef stage fill:#e67e22,color:#fff classDef evade fill:#8e44ad,color:#fff classDef recon fill:#27ae60,color:#fff classDef exfil fill:#f39c12,color:#fff classDef impact fill:#2c3e50,color:#fff class A access class B stage class C evade class D recon class E exfil class F impact ``` ## Timeline ```mermaid timeline title Cuba Ransomware - Evolução 2019-12 : Primeiras amostras detectadas 2021-11 : Alerta CISA/FBI - 49 vitimas EUA 2022-03 : Ressurgimento com BUGHATCH loader 2022-05 : Parceria com Industrial Spy marketplace 2022-08 : Unit42 documenta ROMCOM RAT + BYOVD 2023-06 : Exploração CVE-2023-27532 Veeam 2023-09 : Kaspersky identifica novas variantes BURNTCIGAR evasivas 2024 : Grupo continua ativo com toolchain atualizado ``` ## Técnicas Utilizadas - [[t1486-data-encrypted-for-impact|T1486 - Data Encrypted for Impact]] - [[t1490-inhibit-system-recovery|T1490 - Inhibit System Recovery]] - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] - [[t1135-network-share-discovery|T1135 - Network Share Discovery]] - [[t1057-process-discovery|T1057 - Process Discovery]] - [[t1562-001-disable-or-modify-tools|T1562.001 - Disable or Modify Tools]] - [[t1047-windows-management-instrumentation|T1047 - Windows Management Instrumentation]] - [[t1003-os-credential-dumping|T1003 - OS Credential Dumping]] - [[t1548-002-bypass-user-account-control|T1548.002 - Bypass User Account Control]] - [[t1055-process-injection|T1055 - Process Injection]] - [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] ## Grupos que Usam - [[tropical-scorpius|Tropical Scorpius]] (UNC2596 / UNC2595 - provavel origem russa) ## Detecção - Alertar sobre criptografia em massa de arquivos com extensao `.cuba` ([[t1486-data-encrypted-for-impact|T1486]]) - Monitorar carregamento de drivers vulneraveis nao autorizados - especialmente `aswArPot.sys` e `procexp152.sys` - via Sysmon Event ID 6 (driver load) - Detectar execução de BUGHATCH via DLLs MFC com exports customizados e invocacao por `rundll32.exe` - Alertar sobre exploração de CVE-2023-27532 (Veeam porta 9401) e CVE-2020-1472 (ZeroLogon) - Monitorar `vssadmin.exe delete shadows` e parada de servicos de banco de dados/backup ([[t1490-inhibit-system-recovery|T1490]]) - Sigma: `sysmon_vulnerable_driver_load.yml` e `proc_creation_win_rundll32_susp_export.yml` ## Relevância LATAM/Brasil O [[cubaransomware|Cuba Ransomware]] representa ameaça concreta para o Brasil: o Arctic Wolf documentou em 2023 ataques simultaneos contra infraestrutura critica nos EUA e um integrador de TI na América Latina. O setor de infraestrutura critica brasileiro - especialmente energia, saúde e governo - corresponde exatamente ao perfil de alvos preferênciais do [[tropical-scorpius|Tropical Scorpius]]. Servidores Microsoft Exchange nao atualizados e instancias Veeam Backup vulneraveis sao abundantes em organizacoes brasileiras de medio porte. A expansao documentada do grupo para LATAM, combinada com o uso de brokers de acesso inicial que incluem alvos brasileiros em seus portfolios, indica risco elevado para a regiao. ## Referências - [MITRE ATT&CK - S0625](https://attack.mitre.org/software/S0625) - [CISA/FBI Alert AA21-336A - Cuba Ransomware](https://www.cisa.gov/news-events/cybersecurity-advisories/aa21-336a) - [Unit 42 - Tropical Scorpius ROMCOM RAT](https://thehackernews.com/2022/08/hackers-behind-cuba-ransomware-attacks.html) - [Arctic Wolf - Cuba Ransomware New Tools 2023](https://arcticwolf.com/resources/blog/cuba-ransomware-deploys-new-tools-targets-critical-infrastructure-sector-in-the-usa/) - [Kaspersky - Cuba Gang New Malware 2023](https://usa.kaspersky.com/about/press-releases/cuba-ransomware-gang-deploys-new-malware)