カクタスランサムウェアがVPNの脆弱性を悪用して大企業を標的に

新しいランサムウェア活動「カクタス」が広まり、大企業のネットワークへの初期アクセスのために仮想プライベートネットワーク（VPN）の脆弱性を悪用しています。カクタスランサムウェアは少なくとも3月から活動しており、被害者から巨額の金銭を引き出そうとしています。

攻撃者は、ファイルの暗号化やデータの盗難など、通常のランサムウェアの手法を使用しましたが、検出を逃れるために独自の工夫を加えています。リスクコンサルティング会社Krollのセキュリティ研究者たちは、カクタスランサムウェアがFortinetのVPN機器における既知の脆弱性を悪用して初期アクセスを得ていると考えています。

この評価は、調査されたすべてのイベントにおいて、攻撃者がVPNサーバーのVPNサービスアカウントから侵入しているという観察に基づいています。カクタスが他の活動と異なる点は、ランサムウェアのバイナリを保護するために暗号化を使用していることで、脅威アクターは7-Zipを使用して暗号化バイナリを取得するためのバッチスクリプトを利用します。

その後、元の7-Zipは削除され、特定のフラグを使用してバイナリが展開され、実行可能になります。この全体の手順は異常であり、研究者によれば、ランサムウェアの暗号化ツールの検出を防ぐために行われています。

Krollの技術報告書では、脅威研究者たちは実行方法が3つあり、それぞれが特定のコマンドラインスイッチを使用して選択されると述べています：setup (-s)、read configuration (-r)、および encryption (-i)。

-sおよび-r引数は、攻撃者が持続性を設定し、暗号化ツールが実行されるときに読み取るC:\ProgrammeData\ntuser.datファイルにデータを保持することを可能にします。ファイルの暗号化が機能するためには、攻撃者のみが知っているユニークなAESキーを-iコマンドライン引数を使用して提供する必要があります。

読む: LOBSHOTマルウェアがGoogle広告を介して本物のリモート管理ソフトウェアを偽装して拡散中

このキーは、ランサムウェアの設定ファイルを復号化するために不可欠であり、ファイルを暗号化するためには公開RSAキーが必要です。これは、暗号化バイナリにハードコーディングされたHEX文字列として利用可能であり、HEX文字列をデコードするとAESキーで解除できる暗号化データの一部が得られます。

Krollのサイバーリスク担当アソシエイトマネージングディレクター、ローリー・ラコノは、カクタスは本質的に自らを暗号化し、検出を困難にし、ウイルス対策やネットワーク監視ツールを回避するのに役立つと述べました。

正しいキーを使用して-i暗号化パラメータでバイナリを実行すると、情報が解除され、マルウェアがファイルを検索し、マルチスレッド暗号化手順を開始できるようになります。カクタスバイナリの実行プロセスは、選択されたパラメータに従います。

さらに、ランサムウェアの専門家ミカエル・ギレスピーもカクタスがデータを暗号化する方法を調査し、Bleeping Computerに対して、マルウェアはターゲットとするファイルに対して複数の拡張子を使用していると述べました。

暗号化のためにファイルを準備する際、マルウェアはその拡張子を.CTSoに変更し、暗号化後は拡張子が.CTS1になります。ただし、ミカエルによれば、マルウェアにはクイックモードもあり、これは軽い暗号化パスです。

カクタスを通常モードおよびクイックモードで連続して実行すると、同じファイルが2回暗号化され、プロセスごとに新しい拡張子が追加されます。例えば、.CTS1、CTS17のように。Krollの観察によれば、.CTS拡張子の末尾の数字は、カクタスマルウェアに起因する多くの事件で異なっていました。

ネットワーク内に侵入すると、脅威アクターはSSHロックドアを使用して持続的アクセスのためのスケジュールされたタスクを使用します。Krollの調査によれば、カクタスはSoftPerfect Networkスキャナーに依存してネットワーク上の興味深いターゲットを見つけます。

より深い観察のために、攻撃者はPowerShellコマンドを使用してエンドポイントをリストし、Windowsイベントビューアで成功したログインを確認することでユーザーアカウントを特定し、リモートホストにpingを送信します。

読む: Evil Extractor、米国およびヨーロッパで混乱を引き起こすデータ盗難ツール

さらに、セキュリティ研究者たちは、マルウェアがオープンソースのPsnmpツールの修正バージョンを使用していることを発見しました。これは、nmapネットワークスキャナーと同等のPowerShellです。

カクタスは、AnyDeskやSuperOps RMMなどの正当なツールを介して攻撃に必要なさまざまなツールを起動するために、さまざまなリモートメソッドを試みます。また、Cobalt StrikeやGoベースのプロキシツールChiselも使用します。Krollの研究者たちは、マシン上で権限を昇格させた後、マルウェアオペレーターが最も一般的に使用されるウイルス対策製品をアンインストールするバッチを実行すると述べています。

ほとんどのランサムウェア活動と同様に、カクタスも被害者から機密情報を盗みます。この手順では、脅威アクターはRcloneツールを使用してファイルを直接クラウドストレージに転送します。

データを外部に持ち出した後、攻撃者はTotalExecというPowerShellスクリプトを使用し、これは頻繁にBlack Basta攻撃を自動化するためのものです。カクタスランサムウェア攻撃の暗号化ルーチンは独特です。

それにもかかわらず、このプロセスはカクタスにのみ制限されているようには見えず、最近ではBlackBastaランサムウェアグループによっても同様の暗号化プロセスが使用されていることが確認されていますとギレスピーは述べました。

攻撃者が被害者のデータを盗むにもかかわらず、攻撃者が漏洩したウェブサイトを設定していないように見えます。これは、一般的に二重脅迫に関与する他のランサムウェア活動のケースです。

現在、カクタスが要求するランサムウェアに関する情報はありませんが、報告によれば、数百万ドルに上るとされています。攻撃者は、被害者に対して盗まれたデータを公開すると脅迫しています。

さらに、攻撃者の攻撃はこれまでのところFortinet VPN機器の脆弱性を利用しており、暗号化する前に機密データを盗むという二重基準の二重脅迫アプローチを採用していることは明らかです。

読む: リモートアクセスマルウェアを使用した米国納税者を狙ったフィッシング詐欺