截至 2022 年 8 月，古巴（又名 COLDDRAW）勒索軟件背后的威脅行為者已收到超過 6000 萬美元的贖金，并危害了全球 100 多個實體。

在美國網(wǎng)絡安全和基礎(chǔ)設(shè)施安全局 (CISA) 和聯(lián)邦調(diào)查局 (FBI) 共享的一份新咨詢報告中，這些機構(gòu)強調(diào)“受感染的美國實體數(shù)量和贖金金額都急劇增加”。

勒索軟件團隊，也稱為Tropical Scorpius，已被觀察到以金融服務、政府設(shè)施、醫(yī)療保健、關(guān)鍵制造和 IT 部門為目標，同時擴大其策略以獲得初始訪問權(quán)限并與被破壞的網(wǎng)絡進行交互。

攻擊的切入點涉及利用已知的安全漏洞、網(wǎng)絡釣魚、泄露的憑據(jù)和合法的遠程桌面協(xié)議 (RDP) 工具，然后通過Hancitor（又名 Chanitor）分發(fā)勒索軟件。

值得注意的是，盡管名為“古巴”，但沒有證據(jù)表明演員與該島國有任何聯(lián)系或隸屬關(guān)系。

古巴納入其工具集中的一些缺陷如下 -

• CVE-2022-24521（CVSS 分數(shù)：7.8）- Windows 通用日志文件系統(tǒng) (CLFS) 驅(qū)動程序中的提權(quán)漏洞
• CVE-2020-1472（CVSS 分數(shù)：10.0）- Netlogon 遠程協(xié)議（又名 ZeroLogon）中的提權(quán)漏洞

“除了部署勒索軟件外，攻擊者還使用了‘雙重勒索’技術(shù)，他們竊取受害者數(shù)據(jù)，(1) 要求支付贖金以解密數(shù)據(jù)，(2) 威脅如果支付贖金則公開發(fā)布數(shù)據(jù)沒有制造，”CISA 指出。

根據(jù) BlackBerry 和 Palo Alto Networks Unit 42 最近的調(diào)查結(jié)果，據(jù)說古巴還與 RomCom RAT 和另一個名為 Industrial Spy 的勒索軟件家族的運營商共享鏈接。

RomCom RAT通過合法軟件的木馬化版本傳播，例如 SolarWinds Network Performance Monitor、KeePass、PDF Reader Pro、Advanced IP Scanner、pdfFiller 和 Veeam Backup & Replication，這些軟件托管在偽造的相似網(wǎng)站上。

來自 CISA 和 FBI 的通報是這兩個機構(gòu)針對不同勒索軟件（例如MedusaLocker、Zeppelin、Vice Society、 Daixin Team和Hive ）發(fā)布的一系列警報中的最新一例。