古巴勒索软件操作已恢复正常操作，其恶意软件的新版本在最近的攻击中使用。

古巴勒索软件的活动在 2021 年达到顶峰，当时它与Hancitor 恶意软件团伙合作进行初始访问。到年底，它已经攻破了美国49 个关键基础设施组织。

今年开始对勒索软件团伙来说不那么令人印象深刻，几乎没有新的受害者。然而，Mandiant 发现了战术变化和实验的迹象，表明该组织仍然活跃。
现在，趋势科技分析师报告称，古巴感染病例从 3 月开始重新抬头，并持续强劲到 2022 年 4 月。

古巴勒索软件列出了汽车生产行业的一家大公司
古巴在其 Tor 网站上于 4 月和 5 月分别列出了 3 名受害者和 1 名受害者。但是，导致这些文件发布的攻击可能更早展开。

虽然与其他勒索软件操作相比，这些数字并不令人印象深刻，但“古巴”通常更具选择性，只针对大型组织。

发现新变种
4 月下旬，趋势科技采样的一个新二进制文件包括一些小的添加和更改，这些添加和更改使恶意软件对目标实体更加危险。但更重要的是，它表明该操作仍然存在并且正在积极开发其加密器。

虽然古巴勒索软件的更新在整体功能方面没有太大变化，但我们有理由相信，这些更新旨在优化其执行，最大限度地减少意外系统行为，并在勒索软件受害者选择协商时为他们提供技术支持。-趋势科技

该恶意软件现在会在加密前终止更多进程，包括 Outlook、MS Exchange 和 MySQL。勒索软件加密器终止服务以防止这些应用程序锁定文件并防止它们被加密。

恶意软件的服务终止 （趋势科技）
其次，排除列表已经扩展，在加密期间可以跳过更多目录和文件类型。这有助于在攻击后维护一个正常工作的系统，并防止可能导致无法恢复的损坏文件的执行循环，使受害者没有动力购买解密器。

第三，该团伙更新了其赎金记录，添加了 quTox 以获得现场受害者支持，并表示如果三天内没有满足要求，威胁参与者将在 Tor 网站上发布所有被盗数据。

外表
古巴勒索软件变种的改进只能意味着该组织将在接下来的几个月中继续对组织构成威胁，主要是位于北美的组织。

古巴勒索软件目前仍然是安全的，因此没有可用的解密器可供受害者免费恢复文件。
因此，定期进行数据备份、实施网络分段并使所有系统保持最新状态将是应对威胁的最佳方法。