Ransomware Cactus Exploitant une Faiblesse du VPN pour Cibler les Grandes Entreprises

Une nouvelle activité de ransomware nommée Cactus a fait surface et exploite une faiblesse dans le Réseau Privé Virtuel (VPN) pour accéder aux réseaux des grandes entreprises. Le ransomware Cactus est actif depuis au moins mars et cherche à extorquer d’énormes sommes aux victimes.

Les attaquants ont utilisé toutes les méthodes habituelles des ransomwares, comme le chiffrement des fichiers et le vol de données, bien que l’attaquant ait ajouté sa propre touche pour échapper à la détection. Les chercheurs en sécurité de la société de conseil en risques Kroll pensent que le ransomware obtient l’accès initial en exploitant la faiblesse connue des machines VPN de Fortinet.

Eh bien, l’évaluation est basée sur l’observation que dans tous les événements étudiés, l’attaquant s’introduit depuis un compte de service VPN. Ce qui distingue Cactus des autres activités est l’utilisation du chiffrement pour protéger le binaire du ransomware, de sorte que les acteurs de la menace utilisent un script batch pour obtenir le binaire de chiffrement en utilisant 7-Zip.

Après cela, le 7-Zip original est supprimé, et le binaire est déployé avec un drapeau particulier qui lui permet de s’exécuter. L’ensemble de la procédure est inhabituel, et selon les chercheurs, elle est réalisée pour empêcher la détection du chiffreur de ransomware.

Kroll, dans leur rapport technique, mentionne que les chercheurs en menace identifient trois façons d’exécution, et chacune d’elles est sélectionnée à l’aide d’un commutateur de ligne de commande particulier : setup (-s), read configuration (-r), et encryption (-i).

Les arguments -s et -r permettent aux attaquants de configurer la persistance et de conserver des données dans un fichier C:\ProgrammeData\ntuser.dat qui est lu par le chiffreur lorsqu’il s’exécute avec l’argument de ligne de commande -r et pour que le chiffrement des fichiers fonctionne, une clé AES unique, connue uniquement de l’attaquant, doit être fournie via les arguments de ligne -i.

Lire : Malware LOBSHOT Se Propage via Google Ads en Imitant un Logiciel de Gestion à Distance Authentique

La clé est essentielle pour déchiffrer le fichier de configuration du ransomware, et la clé RSA publique est nécessaire pour chiffrer les fichiers. Comme elle est disponible sous forme de chaîne HEX qui est codée en dur dans le binaire de chiffrement, et le décodage d’une chaîne HEX donne un morceau de données chiffrées qui se déverrouille avec une clé AES.

Laurie Lacono, Directrice Associée pour le Risque Cybernétique chez Kroll, a déclaré que Cactus s’auto-chiffre essentiellement, rendant sa détection plus difficile et l’aidant à échapper aux outils antivirus et de surveillance réseau.

Exécuter le binaire avec la bonne clé pour le paramètre de chiffrement -i déverrouille les informations et permet ensuite au malware de rechercher des fichiers et de commencer une procédure de chiffrement multi-thread. Le processus d’exécution du binaire Cactus se déroule selon les paramètres sélectionnés.

De plus, l’expert en ransomware Micheal Gillespie a également enquêté sur la façon dont Cactus chiffre les données et a déclaré à Bleeping Computer que le malware utilise plusieurs extensions pour les fichiers qu’il cible, en fonction des données traitées.

Alors qu’il prépare un fichier pour le chiffrement, le malware change son extension en .CTSo, et après le chiffrement, l’extension devient .CTS1. Cependant, selon Micheal, le malware dispose également d’un mode rapide, qui est un passage de chiffrement léger.

Exécuter Cactus en mode normal et rapide entraîne continuellement le chiffrement du même fichier deux fois et l’ajout d’une nouvelle extension après chaque processus, par exemple .CTS1, CTS17. Selon les observations de Kroll, le nombre à la fin de l’extension .CTS variait dans de nombreux incidents attribués au malware Cactus.

Une fois dans le réseau, les acteurs de la menace ont utilisé une tâche planifiée pour un accès persistant via une porte dérobée SSH accessible depuis le serveur de commande et de contrôle. Selon l’enquête de Kroll, Cactus dépend du scanner réseau SoftPerfect pour trouver des cibles intéressantes sur le réseau.

Pour une observation plus approfondie, l’attaquant utilise une commande PowerShell pour lister les points de terminaison, identifier les comptes utilisateurs en examinant les connexions réussies dans le Visualiseur d’événements Windows, et pinger des hôtes distants.

Lire : Evil Extractor, Outil de Vol de Données Causant des Ravages aux États-Unis et en Europe

En outre, les chercheurs en sécurité ont également découvert que le malware utilise une version modifiée de l’outil open source Psnmp, qui est identique à PowerShell au scanner réseau nmap.

Cactus essaie de nombreuses méthodes distantes pour lancer divers outils nécessaires à l’attaque via des outils authentiques, par exemple, AnyDesk et SuperOps RMM, aux côtés de Cobalt Strike et de l’outil proxy basé sur Go, Chisel. Les chercheurs de Kroll affirment qu’après avoir élevé les privilèges sur une machine, les opérateurs de malware exécutent un batch qui désinstalle les produits antivirus les plus couramment utilisés.

Comme la plupart des activités de ransomware, Cactus vole également des informations sensibles à la victime ; pour cette procédure, les acteurs de la menace utilisent l’outil Rclone pour transférer des fichiers directement vers le stockage cloud.

Après avoir exfiltré les données, l’attaquant utilise un script PowerShell appelé TotalExec, qui attaque fréquemment Black Basta pour automatiser le processus de chiffrement. Eh bien, la routine de chiffrement des attaques de ransomware Cactus est distinctive.

Néanmoins, le processus ne semble pas être uniquement restreint à Cactus, car un processus de chiffrement similaire a également été récemment observé utilisé par le groupe de ransomware BlackBasta, a déclaré Gillespie.

Bien que même si les attaquants volent les données de la victime, il semble que les attaquants n’aient pas mis en place de sites de fuite, ce qui est généralement le cas avec d’autres activités de ransomware impliquées dans la double extorsion.

Actuellement, il n’y a aucune information sur la rançon que Cactus exige, mais selon les rapports, elle s’élève à des millions. Les attaquants menacent la victime de publier leurs données volées à moins qu’ils ne reçoivent la rançon.

De plus, il est clair que l’attaque des attaquants a jusqu’à présent profité des vulnérabilités dans l’appareil VPN de Fortinet et a ensuite suivi l’approche de double extorsion en volant des données sensibles avant de les chiffrer.

Lire : Arnaques de Phishing Ciblant les Contribuables Américains avec un Malware d’Accès à Distance