I ricercatori di Kroll hanno rivelato le proprie scoperte su un nuovissimo ceppo di ransomware chiamato CACTUS. Questo ceppo di ransomware sfrutta le vulnerabilità note nelle VPN per infiltrarsi nelle reti mirate.
Il nome CACTUS deriva da un nome di file menzionato nella richiesta di riscatto: cAcTuS.readme.txt. Inoltre, tutti i file crittografati vengono aggiunti con .cts1, ma i ricercatori di Kroll hanno notato che questo numero alla fine dell'estensione varia a seconda delle vittime e degli incidenti.
Secondo quanto riferito, gli operatori ransomware CACTUS prendono di mira organizzazioni commerciali su larga scala con una doppia estorsione per rubare dati sensibili prima della crittografia.
In tutti gli incidenti valutati dai ricercatori di Kroll, l'hacker ha utilizzato un server VPN ottenendo l'accesso con un account di servizio VPN. Tuttavia, CACTUS è diverso dalle altre operazioni perché protegge il suo codice binario ransomware con la crittografia.
L'attaccante utilizza uno script batch utilizzando 7-Zip per ottenere il software di crittografia. Rimuove l'archivio ZIP originale e distribuisce il file binario con un flag specifico da eseguire.
Questo processo impedisce il rilevamento del ransomware CACTUS.
Il ransomware CACTUS ottiene l'accesso iniziale alla rete sfruttando difetti già noti negli strumenti VPN di Fortinet.
Sfrutta con successo i dispositivi VPN vulnerabili e imposta una backdoor SSH per mantenere la persistenza utilizzando una serie di comandi PowerShell eseguiti per effettuare la scansione della rete e rilevare i dispositivi da crittografare.
Esistono tre modalità di esecuzione, ognuna delle quali viene selezionata utilizzando uno specifico flag da riga di comando:
- Setup (-s)
- Read configuration (-r)
- Encryption (-i)
Gli argomenti -s e -r consentono agli attaccanti di mantenere la persistenza e salvare i dati in un file (C:\ProgramData\ntuser.dat), che il ransomware legge durante l'esecuzione dell'argomento -r.
La crittografia viene eseguita utilizzando una chiave AES univoca, che solo gli aggressori conoscono. Questa chiave si ottiene utilizzando l'argomento del comando -i. La medesima chiave è essenziale per decifrare i file di configurazione del ransomware.
La chiave RSA pubblica, disponibile come stringa esadecimale codificata nel ransomware, è necessaria per la crittografia dei file.
Gli operatori CACTUS enumerano gli account utente di rete e locali, creano nuovi account utente e sfruttano script personalizzati per automatizzare la distribuzione/detonazione del ransomware CACTUS tramite attività pianificate.
Nel loro rapporto, i ricercatori hanno osservato l'esfiltrazione di dati sensibili e l'estorsione alle vittime tramite il servizio di messaggistica Tor.
Gli aggressori utilizzano gli strumenti di tunneling Cobalt Strike e Chisel per stabilire la comunicazione C2. Possono disinstallare/disabilitare software di sicurezza ed estrarre le credenziali memorizzate nei browser Web e LASS (servizio del sottosistema dell'autorità di sicurezza locale) per l'escalation dei privilegi.
Possono spostarsi su più sistemi e distribuire strumenti di monitoraggio e gestione remota (RMM) come AnyDesk per ottenere la persistenza sulla rete sfruttata, distribuire ransomware con lo script TotalExec.ps1 precedentemente utilizzato dagli operatori di BlackBasta ed esfiltrare i dati utilizzando lo strumento Rclone.
L'intera catena di infezione richiede da 3 a 5 giorni per essere completata.
Programmatore informatico italiano, mi occupo di sviluppo sia Front-end che Back-end presso una grande azienda. La programmazione è stata la mia passione, insieme allo sport e al teatro che pratico tutt'ora. Ho deciso di aprire questo blog per dare consigli e condividerli con chi, come me, porta con sé questa passione. [..]
