Cactus Ransomware Explotando Debilidades de VPN para Atacar Grandes Empresas

Una nueva actividad de ransomware llamada Cactus ha estado circulando y explotando una debilidad en la Red Privada Virtual (VPN) para obtener acceso inicial a las redes de grandes empresas. El ransomware Cactus ha estado activo desde al menos marzo y busca obtener grandes cantidades de las víctimas.

Ahora, los atacantes utilizaron todas las tácticas habituales de ransomware, como la encriptación de archivos y el robo de datos, aunque el atacante le dio su propio toque para escapar de la detección. Los investigadores de seguridad de la firma de consultoría de riesgos Kroll piensan que el ransomware obtiene el acceso inicial explotando la debilidad conocida en las máquinas VPN de Fortinet.

Bueno, la evaluación se basa en la observación de que en todos los eventos investigados, el atacante se infiltra desde una cuenta de servicio de servidor VPN. Lo que distingue a Cactus de otras actividades es el uso de la encriptación para proteger el binario del ransomware, por lo que los actores de la amenaza utilizan un script por lotes para obtener el binario encriptador utilizando 7-Zip.

Después de eso, el 7-Zip original se elimina, y el binario se despliega con una bandera particular que le permite ejecutarse. Todo el procedimiento es inusual, y según los investigadores, se realiza para evitar la detección del encriptador de ransomware.

Kroll, en su informe técnico, menciona que hay tres formas de ejecución, y cada una de ellas se selecciona mediante el uso de un interruptor de línea de comandos particular: configuración (-s), leer configuración (-r) y encriptación (-i).

Los argumentos -s y -r permiten a los atacantes configurar la persistencia y mantener datos en un archivo C:\ProgrammeData\ntuser.dat que es leído por el encriptador cuando se ejecuta con el argumento de línea de comandos -r y para que la encriptación de archivos funcione, se debe proporcionar una clave AES única que solo es conocida por el atacante mediante el uso de los argumentos de línea -i.

Leer: Malware LOBSHOT Propagándose a través de Google Ads Suplantando Software de Gestión Remota Auténtico

La clave es esencial para descifrar el archivo de configuración del ransomware, y se necesita la clave RSA pública para encriptar archivos. Como está disponible como una cadena HEX que está codificada en el binario encriptador, y decodificar una cadena HEX da un trozo de datos encriptados que se desbloquea con una clave AES.

Laurie Lacono, Directora Asociada de Gestión de Riesgos Cibernéticos en Kroll, dijo que Cactus esencialmente se encripta a sí mismo, lo que dificulta su detección y ayuda a evadir herramientas antivirus y de monitoreo de red.

Ejecutar el binario con la clave correcta para el parámetro de encriptación -i desbloquea la información y luego permite que el malware busque archivos y comience un procedimiento de encriptación multihilo. El proceso de ejecución del binario Cactus es según los parámetros seleccionados.

Además, el experto en ransomware Micheal Gillespie también investigó cómo Cactus encripta datos y le dijo a Bleeping Computer que el malware utiliza múltiples extensiones para los archivos que ataca, dependiendo de los datos procesados.

A medida que prepara un archivo para la encriptación, el malware cambia su extensión a .CTSo, y después de la encriptación, la extensión se convierte en .CTS1. Sin embargo, según Micheal, el malware también tiene un modo rápido, que es un paso de encriptación ligero.

Ejecutar Cactus en modo normal y rápido continuamente resulta en encriptar el mismo archivo dos veces y agregar una nueva extensión después de cada proceso, por ejemplo, .CTS1, CTS17. Según las observaciones de Kroll, el número al final de la extensión .CTS varió en numerosos incidentes atribuidos al malware Cactus.

Una vez en la red, los actores de la amenaza utilizaron una tarea programada para acceso persistente utilizando una puerta de enlace SSH que es accesible desde el servidor de comando y control. Según la investigación de Kroll, Cactus depende del escáner de red SoftPerfect para encontrar objetivos interesantes en la red.

Ahora, para una observación más profunda, el atacante utiliza un comando de PowerShell para listar puntos finales, identificar cuentas de usuario al observar inicios de sesión exitosos en el Visor de Eventos de Windows y hacer ping a hosts remotos.

Leer: Evil Extractor, Herramienta de Robo de Datos Causando Estragos en EE. UU. y Europa

Además de esto, los investigadores de seguridad también encontraron que el malware está utilizando una versión modificada de la herramienta de código abierto Psnmp, que es idéntica a PowerShell al escáner de red nmap.

Cactus intenta numerosos métodos remotos para lanzar varias herramientas requeridas para el ataque a través de herramientas auténticas, por ejemplo, AnyDesk y SuperOps RMM, junto con Cobalt Strike y la herramienta proxy basada en Go, Chisel. Los investigadores de Kroll dicen que después de escalar privilegios en una máquina, los operadores de malware ejecutan un lote que desinstala los productos antivirus más comúnmente utilizados.

Como la mayoría de las actividades de ransomware, Cactus también roba información sensible de la víctima; para este procedimiento, los actores de la amenaza utilizan la herramienta Rclone para transferir archivos directamente al almacenamiento en la nube.

Después de exfiltrar los datos, el atacante utilizó un script de PowerShell llamado TotalExec, que frecuentemente utiliza Black Basta para automatizar el proceso de encriptación. Bueno, la rutina de encriptación de los ataques de ransomware Cactus es distintiva.

Sin embargo, el proceso no parece estar restringido solo a Cactus, ya que un proceso de encriptación similar también se ha visto recientemente utilizado por el grupo de ransomware BlackBasta, dijo Gillespie.

Aunque, a pesar de que los atacantes roban los datos de la víctima, parece que los atacantes no han configurado ningún sitio web de filtraciones, que generalmente es el caso con otras actividades de ransomware que están involucradas en la doble extorsión.

Actualmente, no hay información sobre el rescate que Cactus exige, pero según informes, está en millones. Los atacantes amenazan a la víctima con publicar sus datos robados a menos que reciban el rescate.

Además, está claro que el ataque del atacante hasta ahora ha aprovechado las vulnerabilidades en el dispositivo VPN de Fortinet y luego siguió el enfoque de doble estándar de doble extorsión al robar datos sensibles antes de encriptarlos.

Leer: Estafas de Phishing Dirigidas a Contribuyentes de EE. UU. con Malware de Acceso Remoto