Cactus Ransomware Sfrutta la Vulnerabilità del VPN per Colpire Grandi Aziende

Una nuova attività di ransomware chiamata Cactus sta facendo il giro e sfruttando una vulnerabilità nella Rete Privata Virtuale (VPN) per l’accesso iniziale alle reti di grandi aziende. Il ransomware Cactus è attivo almeno da marzo e cerca di estorcere enormi somme dalle vittime.

Ora, gli attaccanti hanno utilizzato tutte le solite tecniche di ransomware come la crittografia dei file e il furto di dati, anche se l’attaccante ha aggiunto il proprio tocco per sfuggire alla rilevazione. I ricercatori di sicurezza della società di consulenza sui rischi Kroll pensano che il ransomware ottenga l’accesso iniziale sfruttando la vulnerabilità nota nelle macchine VPN di Fortinet.

Bene, la valutazione si basa sull’osservazione che in tutti gli eventi investigati, l’attaccante si infiltra da un account di servizio VPN. Ora, ciò che distingue Cactus dalle altre attività è l’uso della crittografia per proteggere il binario del ransomware, quindi gli attori della minaccia utilizzano uno script batch per ottenere il binario crittografatore utilizzando il 7-Zip.

Dopo di che, il 7-Zip originale viene rimosso e il binario viene distribuito con un flag particolare che consente di eseguirlo. L’intera procedura è insolita e, secondo i ricercatori, è fatta per prevenire la rilevazione del crittografatore ransomware.

Kroll, nel loro rapporto tecnico, i ricercatori di minacce menzionano che ci sono tre modi di esecuzione, e ognuno di essi viene selezionato con l’uso di un particolare switch della riga di comando: setup (-s), lettura configurazione (-r) e crittografia (-i).

Gli argomenti -s e -r consentono agli attaccanti di impostare la persistenza e mantenere i dati in un file C:\ProgrammeData\ntuser.dat che viene letto dal crittografatore quando viene eseguito con l’argomento della riga di comando -r e per il funzionamento della crittografia dei file, deve essere fornita una chiave AES unica nota solo all’attaccante utilizzando gli argomenti della riga -i.

Leggi: Malware LOBSHOT che si Diffonde tramite Google Ads Impegnandosi in Software di Gestione Remota Autentico

La chiave è essenziale per decrittografare il file di configurazione del ransomware, e la chiave RSA pubblica è necessaria per crittografare i file. Poiché è disponibile come stringa HEX hardcoded nel binario crittografatore, e decodificare una stringa HEX fornisce un pezzo di dati crittografati che si sbloccano con una chiave AES.

Laurie Lacono, Direttore Associato per il Rischio Cyber presso Kroll, ha dichiarato che Cactus crittografa essenzialmente se stesso, rendendo più difficile la rilevazione e aiutandolo a sfuggire agli strumenti antivirus e di monitoraggio della rete.

Eseguire il binario con la chiave giusta per il parametro di crittografia -i sblocca le informazioni e consente quindi al malware di cercare file e avviare una procedura di crittografia multi-thread. Il processo di esecuzione del binario Cactus avviene secondo i parametri selezionati.

Inoltre, l’esperto di ransomware Micheal Gillespie ha anche indagato su come Cactus crittografi i dati e ha detto a Bleeping Computer che il malware utilizza più estensioni per i file che prende di mira, a seconda dei dati elaborati.

Mentre prepara un file per la crittografia, il malware cambia la sua estensione in .CTSo, e dopo la crittografia, l’estensione diventa .CTS1. Anche se, secondo Micheal, il malware ha anche una modalità rapida, che è un passaggio di crittografia leggero.

Eseguire Cactus in modalità normale e rapida porta continuamente a crittografare lo stesso file due volte e ad aggiungere una nuova estensione dopo ogni processo, ad esempio .CTS1, CTS17. Secondo le osservazioni di Kroll, il numero alla fine dell’estensione .CTS variava in numerosi incidenti attribuiti al malware Cactus.

Una volta nella rete, gli attori della minaccia utilizzano un’attività pianificata per l’accesso persistente utilizzando una porta SSH bloccata che è accessibile dal server di comando e controllo. Secondo l’indagine di Kroll, Cactus dipende dallo scanner di rete SoftPerfect per trovare obiettivi interessanti sulla rete.

Ora, per un’osservazione più approfondita, l’attaccante utilizza un comando PowerShell per elencare gli endpoint, identificare gli account utente esaminando i login riusciti nel Visualizzatore eventi di Windows e pingare host remoti.

Leggi: Evil Extractor, Strumento di Furto Dati che Causa Caos negli Stati Uniti e in Europa

In aggiunta a questo, i ricercatori di sicurezza hanno anche scoperto che il malware sta utilizzando una versione modificata dello strumento open source Psnmp, che è identico a PowerShell allo scanner di rete nmap.

Cactus prova numerosi metodi remoti per lanciare vari strumenti necessari per l’attacco attraverso strumenti autentici, ad esempio, AnyDesk e SuperOps RMM, insieme a Cobalt Strike e allo strumento proxy basato su Go Chisel. I ricercatori di Kroll affermano che dopo aver elevato i privilegi su una macchina, gli operatori del malware eseguono un batch che disinstalla i prodotti antivirus più comunemente usati.

Come la maggior parte delle attività di ransomware, Cactus ruba anche informazioni sensibili dalla vittima; per questa procedura, gli attori della minaccia utilizzano lo strumento Rclone per trasferire file direttamente nel cloud storage.

Dopo aver esfiltrato i dati, l’attaccante ha utilizzato uno script PowerShell chiamato TotalExec, che frequentemente attacca Black Basta per automatizzare il processo di crittografia. Bene, la routine di crittografia degli attacchi ransomware Cactus è distintiva.

Tuttavia, il processo non sembra essere solo limitato a Cactus poiché un processo di crittografia simile è stato recentemente visto utilizzato anche dal gruppo ransomware BlackBasta, ha detto Gillespie.

Anche se gli attaccanti rubano i dati della vittima, sembra che non abbiano impostato alcun sito di fuga, che è generalmente il caso con altre attività di ransomware coinvolte in doppia estorsione.

Attualmente, non ci sono informazioni sul riscatto che Cactus richiede, ma secondo i rapporti, si tratta di milioni. Gli attaccanti minacciano la vittima di pubblicare i loro dati rubati a meno che non ricevano il riscatto.

Inoltre, è chiaro che l’attacco degli attaccanti finora ha sfruttato le vulnerabilità nell’apparecchiatura VPN di Fortinet e poi ha seguito l’approccio della doppia estorsione rubando dati sensibili prima di crittografarli.

Leggi: Truffe di Phishing che Prendono di Mira i Contribuenti Statunitensi con Malware di Accesso Remoto