# Cuba Ransomware Group > [!high] Grupo RaaS Russo com Dupla Extorsao e Link com RomCom > **Cuba Ransomware Group** (também chamado **COLDDRAW**, rastreado como **Tropical Scorpius** pela Unit 42 e **UNC2596** pela Mandiant) e um grupo de ransomware de origem russa ativo desde dezembro de 2019. Responsavel por comprometer mais de 101 entidades em setores criticos (65 nos EUA), o grupo e notavel por seu toolkit avancado proprio - incluindo as ferramentas **BURNTCIGAR**, **WEDGECUT** e **BUGHATCH** - e por suas conexoes documentadas com o [[romcom-rat|RomCom RAT]] a partir de 2022. Em 2023, o grupo foi o primeiro a explorar públicamente a vulnerabilidade critica [[cve-2023-27532|CVE-2023-27532]] no Veeam Backup. ## Visão Geral O [[s0625-cuba-ransomware-group|Cuba Ransomware Group]] utiliza o ransomware **COLDDRAW** (públicamente conhecido como Cuba), que insere um marcador caracteristico "Fidel" no inicio de todos os arquivos criptografados - o que lhe rendeu também o apelido "Fidel Ransomware". O grupo e avaliado com alta confiança como de origem russa: o ransomware automaticamente encerra a operação em sistemas com teclado ou idioma russo configurado, e pesquisadores encontraram texto russo em uma pagina 404 no proprio site de vazamento do grupo. A Mandiant documentou o grupo como UNC2596 e foi a primeira a identificar que o Cuba/COLDDRAW e utilizado **exclusivamente por um único ator** - ao contrario de muitos ransomwares disponibilizados para afiliados externos, o que sugere controle centralizado das operações. O arsenal tecnico do grupo e distintivo: **BURNTCIGAR** (driver kernel para terminar processos de segurança), **WEDGECUT** (ferramenta de enumeracao de hosts via ICMP), **BUGHATCH** (downloader customizado) e **TERMITE** (dropper in-memory). Esses componentes proprietarios distinguem o grupo de operadores menos sofisticados que dependem apenas de ferramentas públicas. A conexão com o [[romcom-rat|RomCom RAT]] a partir de primavera de 2022 sugeriu uma possível colaboracao ou compartilhamento de recursos entre os grupos Cuba e RomCom - ou mesmo que membros transicionaram entre os dois. **Plataformas:** Windows ## Como Funciona 1. **Acesso Inicial:** Exploração de vulnerabilidades em softwares comerciais ([[t1190-exploit-public-facing-application|T1190]]), phishing ([[t1566-spearphishing|T1566]]), credenciais comprometidas ([[t1078-valid-accounts|T1078]]) ou acesso via Hancitor loader. 2. **Foothold com Webshells:** Em casos de acesso via Exchange ProxyShell/ProxyLogon, o grupo implanta webshells para estabelecer persistência inicial. 3. **Dropper TERMITE:** Carrega payloads em memoria para executar ferramentas subsequentes sem gravar no disco. 4. **Escalada de Privilegios:** CVE-2022-24521 (CLFS driver) para roubo de tokens SYSTEM. Scripts PowerShell para Kerberoasting ([[t1558-003-kerberoasting|T1558.003]]) de contas de servico. 5. **Recon Interno:** WEDGECUT para enumerar hosts ativos via ICMP. ADFind e NetScan para mapeamento de AD. 6. **Desativacao de Defesas:** BURNTCIGAR - driver kernel assinado com certificado vazado da NVIDIA/LAPSUS$ - termina processos de segurança ([[t1562-001-disable-or-modify-tools|T1562.001]]). 7. **Movimento Lateral:** Impacket, PsExec, RDP e SMB. 8. **Deploy e Extorsao:** COLDDRAW criptografa arquivos e o grupo exige resgate com ameaça de públicacao no site de vazamento (dupla extorsao). ```mermaid graph TB A["Acesso via Exchange<br/>ProxyShell/ProxyLogon<br/>T1190 + Hancitor"] --> B["TERMITE Dropper<br/>In-memory load payloads<br/>Sem toque no disco"] B --> C["Escalada Privilegios<br/>CVE-2022-24521 CLFS<br/>T1068 SYSTEM token"] C --> D["Recon AD<br/>WEDGECUT + ADFind<br/>Kerberoasting T1558.003"] D --> E["BURNTCIGAR<br/>Driver kernel NVIDIA cert<br/>T1562.001 mata EDR"] E --> F["Deploy COLDDRAW<br/>Criptografia + exfiltração<br/>T1486 dupla extorsao"] classDef access fill:#c0392b,color:#fff classDef loader fill:#8e44ad,color:#fff classDef priv fill:#d35400,color:#fff classDef recon fill:#2c3e50,color:#fff classDef evasion fill:#16a085,color:#fff classDef impact fill:#922b21,color:#fff class A access class B loader class C priv class D recon class E evasion class F impact ``` ## Timeline ```mermaid timeline title Cuba Ransomware Group - Evolução Dez 2019 : Cuba/COLDDRAW identificado : Foco em financeiro e logistica Nov 2021 : Ressurgimento - 60 entidades comprometidas : USD 43.9M em resgates Abr 2022 : FBI/CISA Advisory AA22-335A : Conexão com RomCom RAT identificada : CVE-2022-24521 exploração ativa Ago 2022 : 101 entidades comprometidas (65 EUA) : Grupo dobra vitimas nos EUA Jun 2023 : Primeira exploração CVE-2023-27532 Veeam : Ataque a IT integrator na America Latina 2024 : Grupo continua operacional : Toolkit proprietario atualizado ``` ## Técnicas Utilizadas | Tática | ID | Técnica | |--------|-----|---------| | Initial Access | [[t1190-exploit-public-facing-application\|T1190]] | Exchange ProxyShell + apps comerciais | | Initial Access | [[t1078-valid-accounts\|T1078]] | Credenciais comprometidas | | Execution | [[t1059-001-powershell\|T1059.001]] | PowerShell ofuscado para beacons | | Persistence | [[t1543-003-windows-service\|T1543.003]] | Modificacao de servicos Windows | | Privilege Escalation | [[t1068-exploitation-for-privilege-escalation\|T1068]] | CVE-2022-24521 CLFS + ZeroLogon | | Credential Access | [[t1003-001-lsass-memory\|T1003.001]] | KerberCache extrai Kerberos de LSASS | | Credential Access | [[t1558-003-kerberoasting\|T1558.003]] | Kerberoasting de contas de servico | | Defense Evasion | [[t1562-001-disable-or-modify-tools\|T1562.001]] | BURNTCIGAR driver kernel | | Command and Control | [[t1090-proxy\|T1090]] | Proxy C2 via Meterpreter reverso | | Impact | [[t1486-data-encrypted-for-impact\|T1486]] | COLDDRAW - dupla extorsao | ## Relevância LATAM/Brasil Em 2023, o grupo Cuba comprometeu um **integrador de TI na América Latina** - confirmando atuacao operacional direta na regiao. A Blackberry documentou o ataque que também visou uma organização de infraestrutura critica nos EUA no mesmo período. O uso do CVE-2023-27532 no **Veeam Backup and Replication** e especialmente relevante para o Brasil, onde a solução e amplamente utilizada em empresas de medio e grande porte para backup corporativo. Organizacoes que nao patcharam esta vulnerabilidade continuam expostas ao grupo Cuba e a outros atores que adotaram o mesmo exploit. A conexão com o [[romcom-rat|RomCom RAT]] também e relevante, pois o RomCom já teve campanhas documentadas contra organizacoes de defesa e tecnologia com presenca na América Latina. **Setores impactados:** [[financial|financeiro]] - [[critical-infrastructure|infraestrutura critica]] - [[government|governo]] - [[technology|tecnologia]] - logistica ## Detecção e Defesa - **Patch CVE-2023-27532:** Atualizar Veeam Backup imediatamente - explorado pelo grupo Cuba com zero conhecimento previo - **Monitorar BURNTCIGAR:** Alertar para drivers kernel recentemente instalados, especialmente com certificados de terceiros - **Detectar WEDGECUT:** Ferramenta de ping sweep - alertar para `check.exe` executando ICMP em massa - **Revogar certificados vazados:** Implementar blocklist de certificados NVIDIA/LAPSUS$ no ambiente - **Monitorar TERMITE:** In-memory dropper - alertar para injecao de DLL em processos legitimos - **Hardening Exchange:** Aplicar todos os patches ProxyShell e ProxyLogon, remover webshells da pasta wwwroot - **Auditar drivers kernel:** Revisar periodicamente drivers carregados - vetores criticos para BYOVD attacks ## Referências - [1](https://attack.mitre.org/software/S0625/) MITRE ATT&CK - S0625 Cuba (2024) - [2](https://www.ic3.gov/CSA/2022/221201-2.pdf) FBI/CISA - Advisory Cuba Ransomware AA22-335A (2022) - [3](https://cloud.google.com/blog/topics/threat-intelligence/unc2596-cuba-ransomware) Mandiant - UNC2596 Cuba Ransomware Analysis (2024) - [4](https://arcticwolf.com/resources/blog/cuba-ransomware-deploys-new-tools-targets-critical-infrastructure-sector-in-the-usa/) Arctic Wolf - Cuba New Tools LATAM Target (2023) - [5](https://thehackernews.com/2022/08/hackers-behind-cuba-ransomware-attacks.html) The Hacker News - Cuba RomCom RAT Link (2022)