截至 2022 年 8 月，古巴（又名 COLDDRAW）勒索軟件背后的威脅行為者已收到超過(guò) 6000 萬(wàn)美元的贖金，并危害了全球 100 多個(gè)實(shí)體。

在美國(guó)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局 (CISA) 和聯(lián)邦調(diào)查局 (FBI) 共享的一份新咨詢(xún)報(bào)告中，這些機(jī)構(gòu)強(qiáng)調(diào)“受感染的美國(guó)實(shí)體數(shù)量和贖金金額都急劇增加”。

勒索軟件團(tuán)隊(duì)，也稱(chēng)為T(mén)ropical Scorpius，已被觀察到以金融服務(wù)、政府設(shè)施、醫(yī)療保健、關(guān)鍵制造和 IT 部門(mén)為目標(biāo)，同時(shí)擴(kuò)大其策略以獲得初始訪(fǎng)問(wèn)權(quán)限并與被破壞的網(wǎng)絡(luò)進(jìn)行交互。

攻擊的切入點(diǎn)涉及利用已知的安全漏洞、網(wǎng)絡(luò)釣魚(yú)、泄露的憑據(jù)和合法的遠(yuǎn)程桌面協(xié)議 (RDP) 工具，然后通過(guò)Hancitor（又名 Chanitor）分發(fā)勒索軟件。

值得注意的是，盡管名為“古巴”，但沒(méi)有證據(jù)表明演員與該島國(guó)有任何聯(lián)系或隸屬關(guān)系。

古巴納入其工具集中的一些缺陷如下 -

• CVE-2022-24521（CVSS 分?jǐn)?shù)：7.8）- Windows 通用日志文件系統(tǒng) (CLFS) 驅(qū)動(dòng)程序中的提權(quán)漏洞
• CVE-2020-1472（CVSS 分?jǐn)?shù)：10.0）- Netlogon 遠(yuǎn)程協(xié)議（又名 ZeroLogon）中的提權(quán)漏洞

“除了部署勒索軟件外，攻擊者還使用了‘雙重勒索’技術(shù)，他們竊取受害者數(shù)據(jù)，(1) 要求支付贖金以解密數(shù)據(jù)，(2) 威脅如果支付贖金則公開(kāi)發(fā)布數(shù)據(jù)沒(méi)有制造，”CISA 指出。

根據(jù) BlackBerry 和 Palo Alto Networks Unit 42 最近的調(diào)查結(jié)果，據(jù)說(shuō)古巴還與 RomCom RAT 和另一個(gè)名為 Industrial Spy 的勒索軟件家族的運(yùn)營(yíng)商共享鏈接。

RomCom RAT通過(guò)合法軟件的木馬化版本傳播，例如 SolarWinds Network Performance Monitor、KeePass、PDF Reader Pro、Advanced IP Scanner、pdfFiller 和 Veeam Backup & Replication，這些軟件托管在偽造的相似網(wǎng)站上。

來(lái)自 CISA 和 FBI 的通報(bào)是這兩個(gè)機(jī)構(gòu)針對(duì)不同勒索軟件（例如MedusaLocker、Zeppelin、Vice Society、 Daixin Team和Hive ）發(fā)布的一系列警報(bào)中的最新一例。