充分的了解是打击网络犯罪的最佳武器。了解不同团伙的运作方式及其使用的工具有助于建立有效的防御和取证流程。本报告详细介绍了Cuba组织的历史，以及他们的攻击战术、技术和程序（TTP），旨在帮助组织在类似的威胁面前领先一步。

Cuba勒索软件团伙

【Cuba数据泄露网站】

该组织的攻势最早于2020年底成功引起了卡巴斯基研究人员的注意。当时，网络犯罪分子还没有使用“Cuba”这个绰号；他们当时还被称为“Tropical Scorpius”。

Cuba主要针对美国、加拿大和欧洲的组织，并且已经针对石油公司、金融服务、政府机构和医疗保健提供商发动了一系列备受瞩目的攻击。

和最近大多数网络勒索组织一样，Cuba团伙也会对受害者的文件进行加密，并要求赎金以换取解密密钥。该团伙惯于使用复杂的战术和技术来渗透受害者的网络，比如利用软件漏洞和社会工程手段等。他们还已经知道使用受损的远程桌面（RDP）连接进行初始访问。

尽管一些研究人员认为它可能是另一个臭名昭著的勒索团伙Babuk的继承者，但Cuba团伙的确切起源及其成员的身份尚不清楚。与许多其他同类组织一样，Cuba也是一个勒索软件即服务（RaaS）组织，允许其合作伙伴使用勒索软件和相关基础设施，并收取赎金分成。

该组织自成立以来已经历多次更名。我们目前知道它使用了以下别名：

• ColdDraw

• Tropical Scorpius

• Fidel

• Cuba

今年2月，研究人员又发现该团伙的另一个名字——V Is Vendetta，这个名字偏离了黑客们最喜欢的Cuba主题。因此，研究人员推测这可能是其附属组织所用的别名。

V Is Vendetta与Cuba团伙存在明显的联系：其网站托管在Cuba域名上：

http[:]//test[.]cuba4ikm4jakjgmkezytyawtdgr2xymvy6nvzgw5cglswg3si76icnqd[.]onion/

【V Is Vendetta的网站】

在撰写本文时，Cuba组织仍然十分活跃，不断有新的勒索受害者出现。

受害者研究

在本节中，研究人员使用了用户自愿提供的数据和公开来源的受害者信息，例如其他安全供应商的报告和勒索软件团伙本身的数据泄露站点。

研究显示，该组织攻击了世界各地的许多公司，涉及零售商、金融和物流服务、政府机构、制造商等。而从地理位置来看，大多数受害企业都位于美国，但在加拿大、欧洲、亚洲和澳大利亚也有受害者。

【Cuba受害者的地理分布】

勒索软件分析

Cuba勒索软件是一个单独的文件，没有额外的库。样本通常有伪造的编译时间戳：那些在2020年发现的样本上印有2020年6月4日，而最近的样本上印有1992年6月19日。

Cuba勒索模式

【Cuba勒索模型】

就向受害者施加压力的工具而言，Cuba组织目前存在四种勒索模式：

• 单一勒索：加密数据，并要求赎金解密。

• 双重勒索：除了加密之外，攻击者还窃取敏感信息并威胁要扣留加密密钥，并在网上公布被盗的信息，除非受害者支付赎金。这是当今勒索软件团伙中最流行的模式。

• 三重勒索：在“双重勒索”的基础上进一步威胁称，要将受害者的内部基础设施暴露于DDoS攻击。在LockBit团伙受到DDoS攻击（可能是受害者所为）后，该模式开始广泛传播。但公平地说，三重勒索的孤立案例早于LockBit案。

• 第四种模式是最不常见的，因为它意味着最大的压力，因此成本更高。它增加了在受害者的投资者、股东和客户中传播数据泄露消息的操作。在这种情况下，没有必要进行DDoS攻击。这种模式的例证是最近弗吉尼亚州布鲁菲尔德大学遭遇的黑客攻击，AvosLocker勒索软件团伙劫持了学校的紧急广播系统，向学生和员工发送短信和电子邮件提醒，告知他们的个人数据被盗。黑客们还敦促他们不要相信学校的管理层，因为校方隐瞒了入侵的真实规模。

Cuba组织正在使用经典的“双重勒索”模式，使用Xsalsa20对称算法加密数据，并用RSA-2048非对称算法加密密钥。这种方式被称为“混合加密”，是一种可以防止在没有密钥的情况下解密的加密安全方法。

Cuba勒索软件样本会避免加密具有以下扩展名的文件：.exe、.dll、.sys、.ini、. link、.vbm和.cuba，以及以下文件夹：

\windows\

\program files\microsoft office\

\program files (x86)\microsoft office\

\program files\avs\

\program files (x86)\avs\

\$recycle.bin\

\boot\

\recovery\

\system volume information\

\msocache\

\users\all users\

\users\default user\

\users\default\

\temp\

\inetcache\

\google\

该勒索软件通过搜索并加密“%AppData%\Microsoft\Windows\Recent\”目录中的微软Office文档、图像、档案和其他文件，而不是设备上的所有文件，从而节省了时间。它还终止所有用于加密任何可用数据库的SQL服务。它还会查找本地和网络共享内部的数据。

【Cuba勒索软件终止的服务列表】

除了加密之外，该组织还会窃取其在受害者组织内部发现的敏感数据。黑客想要获取的数据类型取决于目标公司所处的行业，但在大多数情况下，他们会窃取以下内容：

• 财务文件；

• 银行对账单；

• 公司账户明细；

• 源代码（如果目标公司是软件开发商）。

武器库

该组织使用众所周知的“经典”凭据访问工具（如mimikatz）和自主编写的应用程序。它还利用了受害公司所用软件中的漏洞，且这些漏洞大多数是已知的问题，例如结合ProxyShell和ProxyLogon攻击Exchange服务器，以及Veeam数据备份和恢复服务中的安全漏洞。

该组织“武器库”中所涉及的恶意软件、工具和安全漏洞具体如下所示：

恶意软件

• Bughatch

• Burntcigar

• Cobeacon

• Hancitor (Chanitor)

• Termite

• SystemBC

• Veeamp

• Wedgecut

• RomCOM RAT

工具

• Mimikatz

• PowerShell

• PsExec

• 远程桌面协议（RDP）

漏洞

ProxyShel：

• CVE-2021-31207

• CVE-2021-34473

• CVE-2021-34523

ProxyLogon：

• CVE-2021-26855

• CVE-2021-26857

• CVE-2021-26858

• CVE-2021-27065

Veeam漏洞：

• CVE-2022-26501

• CVE-2022-26504

• CVE-2022-26500

ZeroLogon：

CVE-2020-1472

【攻击库映射到MITRE ATT&CK战术】

利润

黑客在赎金通知中提供了比特币钱包的标识符，这些比特币钱包的进出款总额超过3600比特币，按1比特币兑换28624美元的价格换算，价值超过1.03亿美元。分析显示，该团伙拥有众多钱包，且不断在这些钱包之间转移资金，并使用比特币混合器通过一系列匿名交易发送比特币的服务，使追踪资金来源变得更加困难。

【BTC网络中交易树的一部分】

Cuba相关事件调查和恶意软件分析

主机：SRV_STORAGE

2022年12月19日，卡巴斯基研究人员在客户主机上发现了可疑活动，并将其称之为“SRV_STORAGE”。遥测数据显示了三个可疑的新文件：

【卡巴斯基SOC发现的遥测数据中的可疑事件】

对kk65.bat的分析表明，它作为一个stager，通过启动rundll32并将komar65库（该库运行回调函数DLLGetClassObjectGuid）加载到其中来启动所有进一步的活动。

【研究人员找到的.bat文件的内容】

接下来，研究人员进一步解析了可疑DLL的内部。

Bughatch

komar65.dll库也被称为“Bughatch”，这是Mandiant在一份报告中给出的名字。

首先引起研究人员注意的是PDB文件的路径。里面有个文件夹叫“mosquito”，俄语翻译过来就是“komar”，后者是DDL名称的一部分，表明该团伙可能包括说俄语的人。

【komar65.dll PDB文件的路径】

当连接到以下两个地址时，DLL代码将Mozilla/4.0作为用户代理：

• Com，显然用于检查外部连接；

• 该团伙的命令和控制（C2）中心。如果初始ping通过，恶意软件将尝试与C2服务器建立连接。

【komar65.dll分析】