截至 2022 年 8 月，古巴（又名 COLDDRAW）勒索軟件背后的威脅行為者已收到超過 6000 萬美元的贖金，并危害了全球 100 多個實體。

在美國網絡安全和基礎設施安全局 (CISA) 和聯邦調查局 (FBI) 共享的一份新咨詢報告中，這些機構強調“受感染的美國實體數量和贖金金額都急劇增加”。

勒索軟件團隊，也稱為Tropical Scorpius，已被觀察到以金融服務、政府設施、醫(yī)療保健、關鍵制造和 IT 部門為目標，同時擴大其策略以獲得初始訪問權限并與被破壞的網絡進行交互。

攻擊的切入點涉及利用已知的安全漏洞、網絡釣魚、泄露的憑據和合法的遠程桌面協議 (RDP) 工具，然后通過Hancitor（又名 Chanitor）分發(fā)勒索軟件。

值得注意的是，盡管名為“古巴”，但沒有證據表明演員與該島國有任何聯系或隸屬關系。

古巴納入其工具集中的一些缺陷如下 -

• CVE-2022-24521（CVSS 分數：7.8）- Windows 通用日志文件系統(tǒng) (CLFS) 驅動程序中的提權漏洞
• CVE-2020-1472（CVSS 分數：10.0）- Netlogon 遠程協議（又名 ZeroLogon）中的提權漏洞

“除了部署勒索軟件外，攻擊者還使用了‘雙重勒索’技術，他們竊取受害者數據，(1) 要求支付贖金以解密數據，(2) 威脅如果支付贖金則公開發(fā)布數據沒有制造，”CISA 指出。

根據 BlackBerry 和 Palo Alto Networks Unit 42 最近的調查結果，據說古巴還與 RomCom RAT 和另一個名為 Industrial Spy 的勒索軟件家族的運營商共享鏈接。

RomCom RAT通過合法軟件的木馬化版本傳播，例如 SolarWinds Network Performance Monitor、KeePass、PDF Reader Pro、Advanced IP Scanner、pdfFiller 和 Veeam Backup & Replication，這些軟件托管在偽造的相似網站上。

來自 CISA 和 FBI 的通報是這兩個機構針對不同勒索軟件（例如MedusaLocker、Zeppelin、Vice Society、 Daixin Team和Hive ）發(fā)布的一系列警報中的最新一例。