网络安全检测|网络安全服务|网络安全扫描-香港墨客投资移动版

从2022年5月初开始，Unit42观察到攻击者使用新工具和技术部署Cuba勒索软件。根据Unit42的命名模式，Cuba勒索软件又被命名为Tropical Scorpius。

Tropical Scorpius概述

该勒索软件家族于2019年12月首次被发现。此后，该勒索软件家族背后的攻击者改变了其攻击策略和工具，在2022年成为更普遍的威胁。该勒索软件历来通过Hancitor传播，通常通过恶意附件传播。Hancitor，也被称为Chanitor或Tordal，是一个基于宏的恶意软件，通过分布在垃圾电子邮件活动中的Microsoft Office文档传播。研究人员还观察到Tropical Scorpius利用MicrosoftExchangeServer中的漏洞，包括ProxyShell和ProxyLogon。

该勒索软件组织使用双重勒索和一个泄露网站，该网站暴露了据称已被入侵的组织（图1a和1b）。也就是说，该组织在2019年首次观察时没有泄漏网站，研究人员怀疑这个灵感来自其他勒索软件，例如Maze和REvil。Cuba勒索软件泄漏网站还包括一个付费部分。

泄漏网站的屏幕截图，重点关注该组织免费提供的内容

泄漏网站的屏幕截图，该网站提供数据出售

受害者分析

最新的Unit42勒索软件威胁报告包括对Cuba勒索软件影响33个组织的观察。截至2022年7月，Tropical Scorpius已经影响了27个跨多个领域的组织，例如专业和法律服务、州和地方政府、制造、运输和物流、批发和零售、房地产、金融服务、医疗保健、高科技、公用事业和能源、建筑和教育。自该组织于2019年首次出现以来，该组织总共泄漏了60个组织的信息。

不过受害者的数量比泄漏网站显示的要多，因为如果受害者支付赎金，勒索软件运营商通常不会公开发布数据。

泄露网站上出现的组织，按行业分布

这个勒索软件组织的泄密网站并不像目前正在运营的其他勒索软件组织那样包括全球范围内的目标组织分布。虽然泄密网站并不能反映受此勒索软件组织影响的实际受害者数量，但它们仍让我们大致了解该组织的目标和目的。我们注意到，有40个位于美国。

工业间谍和Tropical Scorpius

2022年5月，BleepingComputer报告称，"工业间谍"(Industrial Spy)市场正在进入勒索软件业务。在2022年4月出现后，"工业间谍"成为了一个众所周知的网站，攻击者可以在该网站注册，从被入侵的公司购买窃取的数据。勒索软件的扩展虽然是一种相关类型的恶意活动，但似乎也与Tropical Scorpius有关。

工业间谍登陆页面

BleepingComputer报告称，工业间谍勒索软件使用的勒索信与Cuba勒索信非常相似，两份勒索信都包含完全相同的联系信息。Unit42观察到有效载荷用于加密受感染系统上的文件，将.cuba扩展名附加到文件中，但随后观察到泄露的数据已在Industrial Spy市场上发布出售。

我们仍然不确定为什么Tropical Scorpius攻击者利用工业间谍市场而不是他们自己的泄密网站。

勒索软件功能

虽然很明显，Tropical Scorpius攻击者不断开发和更新他们的工具包，但其核心有效载荷自2019年被发现以来基本保持不变。加密算法仍取自WolfSSL的开源存储库，特别是用于文件加密的ChaCha和RSA用于密钥加密。

Tropical Scorpius和WolfSSL的RSA加密函数之间的代码重叠

类似于大多数勒索软件家族，Tropical Scorpius根据文件大小对文件进行不同的加密。如果文件长度小于0x200000字节，则对整个文件进行加密。如果没有，Tropical Scorpius会以0x100000字节的块对文件进行加密，加密块之间的中断根据整体大小而有所不同。例如，大小在0x200000字节和0xA00000字节之间的文件将被修改为0x400000字节的块，直到文件结束。

在文件加密之前确定块间距

Tropical Scorpius中基于文件大小的块间距