Cactus-Ransomware nutzt VPN-Schwäche, um große Unternehmen ins Visier zu nehmen

Eine neue Ransomware-Aktivität namens Cactus macht die Runde und nutzt eine Schwäche im Virtual Private Network (VPN) für den ersten Zugriff auf die Netzwerke großer Unternehmen. Die Ransomware Cactus ist seit mindestens März aktiv und versucht, große Summen von den Opfern zu erpressen.

Die Angreifer verwendeten alle üblichen Ransomware-Methoden wie die Verschlüsselung von Dateien und den Diebstahl von Daten, obwohl der Angreifer seine eigene Note hinzufügte, um der Entdeckung zu entgehen. Sicherheitsforscher der Risikoberatungsfirma Kroll glauben, dass die Ransomware den ersten Zugriff durch die Ausnutzung der bekannten Schwäche in den VPN-Geräten von Fortinet erhält.

Die Bewertung basiert auf der Beobachtung, dass in allen untersuchten Vorfällen der Angreifer von einem VPN-Server-VPN-Dienstkonto aus eindringt. Was Cactus von anderen Aktivitäten unterscheidet, ist die Verwendung von Verschlüsselung, um die Ransomware-Binärdatei zu schützen, sodass die Bedrohungsakteure ein Batch-Skript verwenden, um die Verschlüsselungs-Binärdatei mit 7-Zip zu erhalten.

Danach wird das ursprüngliche 7-Zip entfernt, und die Binärdatei wird mit einem bestimmten Flag bereitgestellt, das es ihr ermöglicht, ausgeführt zu werden. Das gesamte Verfahren ist ungewöhnlich, und laut den Forschern wird es durchgeführt, um die Erkennung des Ransomware-Verschlüsslers zu verhindern.

Kroll erwähnt in ihrem technischen Bericht, dass es drei Ausführungsarten gibt, und jede von ihnen wird mit der Verwendung eines bestimmten Befehlszeilen-Schalters ausgewählt: setup (-s), Konfiguration lesen (-r) und Verschlüsselung (-i).

Die -s- und -r-Argumente ermöglichen es den Angreifern, Persistenz einzurichten und Daten in einer C:\ProgrammeData\ntuser.dat-Datei zu speichern, die vom Verschlüsseler gelesen wird, wenn er mit dem -r Befehlszeilenargument ausgeführt wird, und damit die Dateiverschlüsselung funktioniert, muss ein einzigartiger AES-Schlüssel, der nur dem Angreifer bekannt ist, über die -i Befehlszeilenargumente bereitgestellt werden.

Lesen: LOBSHOT-Malware verbreitet sich über Google Ads und gibt sich als authentische Fernverwaltungssoftware aus

Der Schlüssel ist entscheidend, um die Ransomware-Konfigurationsdatei zu entschlüsseln, und der öffentliche RSA-Schlüssel wird benötigt, um Dateien zu verschlüsseln. Da er als HEX-String verfügbar ist, der in der Verschlüsselungs-Binärdatei hardcodiert ist, ergibt das Dekodieren eines HEX-Strings ein Stück verschlüsselter Daten, das mit einem AES-Schlüssel entschlüsselt wird.

Laurie Lacono, Associate Managing Director für Cyber-Risiken bei Kroll, sagte, dass Cactus sich im Wesentlichen selbst verschlüsselt, was es schwieriger macht, erkannt zu werden, und ihm hilft, Antiviren- und Netzwerküberwachungstools zu umgehen.

Das Ausführen der Binärdatei mit dem richtigen Schlüssel für den -i Verschlüsselungsparameter entschlüsselt die Informationen und ermöglicht es der Malware dann, nach Dateien zu suchen und ein mehrstufiges Verschlüsselungsverfahren zu starten. Der Ausführungsprozess der Cactus-Binärdatei erfolgt gemäß den ausgewählten Parametern.

Darüber hinaus hat der Ransomware-Experte Micheal Gillespie auch untersucht, wie Cactus Daten verschlüsselt, und Bleeping Computer mitgeteilt, dass die Malware mehrere Erweiterungen für die Dateien verwendet, die sie angreift, abhängig von den verarbeiteten Daten.

Während es eine Datei zur Verschlüsselung vorbereitet, ändert die Malware ihre Erweiterung in die .CTSo-Erweiterung, und nach der Verschlüsselung wird die Erweiterung zu .CTS1. Laut Micheal hat die Malware jedoch auch einen Schnellmodus, der einen leichten Verschlüsselungspass darstellt.

Das Ausführen von Cactus im normalen und schnellen Modus führt kontinuierlich dazu, dass dieselbe Datei zweimal verschlüsselt wird und nach jedem Prozess eine neue Erweiterung hinzugefügt wird, zum Beispiel .CTS1, CTS17. Laut Krolls Beobachtungen variierte die Zahl am Ende der .CTS-Erweiterung in zahlreichen Vorfällen, die der Cactus-Malware zugeschrieben wurden.

Sobald sie im Netzwerk sind, verwenden die Bedrohungsakteure eine geplante Aufgabe für den persistierenden Zugriff über eine SSH-Hintertür, die vom Command-and-Control-Server aus zugänglich ist. Laut Krolls Untersuchung verlässt sich Cactus auf den SoftPerfect Network Scanner, um interessante Ziele im Netzwerk zu finden.

Für tiefere Beobachtungen verwendet der Angreifer einen PowerShell-Befehl, um Endpunkte aufzulisten, Benutzerkonten zu identifizieren, indem er erfolgreiche Anmeldungen im Windows-Ereignisprotokoll betrachtet, und um Remote-Hosts anzupingen.

Lesen: Evil Extractor, Datendiebstahl-Tool, das in den USA und Europa Chaos verursacht

Zusätzlich fanden Sicherheitsforscher heraus, dass die Malware eine modifizierte Version des Open-Source-Tools Psnmp verwendet, das PowerShell-identisch zum nmap-Netzwerkscanner ist.

Cactus versucht zahlreiche Remote-Methoden, um verschiedene für den Angriff erforderliche Tools über authentische Tools zu starten, zum Beispiel AnyDesk und SuperOps RMM, neben dem Cobalt Strike und dem Go-basierten Proxy-Tool Chisel. Forscher bei Kroll sagen, dass die Malware-Betreiber nach der Erhöhung der Berechtigungen auf einem Rechner ein Batch ausführen, das die am häufigsten verwendeten Antivirenprodukte deinstalliert.

Wie die meisten Ransomware-Aktivitäten stiehlt Cactus auch sensible Informationen vom Opfer; für dieses Verfahren verwenden die Bedrohungsakteure das Rclone-Tool, um Dateien direkt in den Cloud-Speicher zu übertragen.

Nachdem die Daten exfiltriert wurden, verwendete der Angreifer ein PowerShell-Skript namens TotalExec, das häufig bei Black Basta-Angriffen verwendet wird, um den Verschlüsselungsprozess zu automatisieren. Nun, die Verschlüsselungsroutine der Cactus-Ransomware-Angriffe ist einzigartig.

Dennoch scheint der Prozess nicht nur auf Cactus beschränkt zu sein, da ein ähnlicher Verschlüsselungsprozess kürzlich auch von der BlackBasta-Ransomware-Gruppe verwendet wurde, sagte Gillespie.

Obwohl die Angreifer die Daten des Opfers stehlen, sieht es so aus, als hätten die Angreifer keine geleakten Websites eingerichtet, was normalerweise bei anderen Ransomware-Aktivitäten der Fall ist, die in die doppelte Erpressung verwickelt sind.

Derzeit gibt es keine Informationen darüber, welches Lösegeld Cactus verlangt, aber Berichten zufolge handelt es sich um Millionenbeträge. Die Angreifer drohen dem Opfer, ihre gestohlenen Daten zu veröffentlichen, es sei denn, sie erhalten das Lösegeld.

Darüber hinaus ist klar, dass der Angriff der Angreifer bisher die Schwachstellen in der Fortinet-VPN-Appliance ausgenutzt hat und dann den doppelten Standardansatz der doppelten Erpressung verfolgt hat, indem sie sensible Daten vor der Verschlüsselung gestohlen haben.

Lesen: Phishing-Betrügereien, die US-Steuerzahler mit Malware für den Fernzugriff ins Visier nehmen