La famiglia di Ransomware Cuba è emersa per la prima volta a dicembre 2019. L’ attore delle minacce dietro questa tipologia di ransomware, tracciato come Tropical Scorpius da Unit 42 di Palo Alto Networks, ha da allora modificato le proprie tattiche e strumenti per diventare una delle minacce più diffuse del 2022. Questo ransomware è stato storicamente distribuito tramite Hancitor, con allegati dannosi. Tropical Scorpius è stato osservato anche sfruttare le vulnerabilità di Microsoft Exchange Server, tra cui ProxyShell e ProxyLogon.
Questo gruppo ransomware utilizza una doppia estorsione insieme a un sito di leak che espone le organizzazioni presumibilmente compromesse. Non possedeva un sito di leak quando è stato osservato per la prima volta nel 2019 e Unit 42 di Palo Alto Networks sospetta che l’ispirazione per aggiungerne uno sia giunta da altri gruppi cybercriminali come Maze e REvil. Il sito dei leak di Cuba Ransomware include anche una sezione a pagamento in cui gli attori delle minacce condividono i leak con chi è interessato ad acquistarli.
Unit 42 Ransomware Threat Report include osservazioni su come il Ransomware Cuba abbia colpito 33 organizzazioni. A partire da luglio 2022, Tropical Scorpius ha utilizzato questo ransomware per attaccare altre 27 organizzazioni in diversi settori, come servizi professionali e legali, amministrazioni statali e locali, industria manifatturiera, trasporti e logistica, commercio all’ingrosso e al dettaglio, settore immobiliare, servizi finanziari, sanità, tecnologia, servizi pubblici ed energia, edilizia e istruzione. Un totale di 60 organizzazioni è stato esposto sul sito di leak da quando il gruppo è emerso per la prima volta nel 2019. Il numero di vittime probabilmente è maggiore rispetto a quello indicato dal sito, poiché gli operatori ransomware di solito non rilasciano pubblicamente i dati se la vittima paga il riscatto. Detto questo, l’FBI afferma che questo gruppo hacker ha guadagnato almeno 43,9 milioni di dollari dai pagamenti dei
