Ransomware Cactus Explorando Vulnerabilidade de VPN para Alvo em Grandes Empresas

Uma nova atividade de ransomware chamada Cactus tem circulado e explorado uma vulnerabilidade na Rede Privada Virtual (VPN) para acesso inicial às redes de grandes empresas. O ransomware Cactus está ativo desde pelo menos março e busca extorquir grandes quantias das vítimas.

Agora, os atacantes usaram todas as táticas habituais de ransomware, como criptografia de arquivos e roubo de dados, embora o atacante tenha adicionado seu próprio toque para escapar da detecção. Pesquisadores de segurança da empresa de consultoria de riscos Kroll acreditam que o ransomware obtém acesso inicial explorando a vulnerabilidade conhecida nas máquinas VPN da Fortinet.

Bem, a avaliação é baseada na observação de que, em todos os eventos investigados, o atacante se infiltra a partir de uma conta de serviço de servidor VPN. O que distingue o Cactus de outras atividades é o uso de criptografia para proteger o binário do ransomware, de modo que os atores da ameaça utilizam um script em lote para obter o binário do criptografador usando o 7-Zip.

Depois disso, o 7-Zip original é removido, e o binário é implantado com uma flag específica que permite sua execução. Todo o procedimento é incomum e, segundo os pesquisadores, é feito para evitar a detecção do criptografador de ransomware.

Kroll, em seu relatório técnico, menciona que existem três maneiras de execução, e cada uma delas é selecionada com o uso de um comando específico: setup (-s), ler configuração (-r) e criptografia (-i).

Os argumentos -s e -r permitem que os atacantes configurem a persistência e mantenham dados em um arquivo C:\ProgrammeData\ntuser.dat que é lido pelo criptografador quando está sendo executado com o argumento de linha de comando -r e, para que a criptografia do arquivo funcione, uma chave AES única, que é conhecida apenas pelo atacante, deve ser fornecida usando os argumentos de linha -i.

Leia: Malware LOBSHOT se espalhando via Google Ads se passando por software de gerenciamento remoto autêntico

A chave é essencial para descriptografar o arquivo de configuração do ransomware, e a chave RSA pública é necessária para criptografar arquivos. Como está disponível como uma string HEX que é codificada no binário do criptografador, e decodificar uma string HEX fornece um pedaço de dados criptografados que é desbloqueado com uma chave AES.

Laurie Lacono, Diretora Associada de Gestão de Risco Cibernético na Kroll, disse que o Cactus essencialmente se criptografa, tornando mais difícil a detecção e ajudando a evitar ferramentas de antivírus e monitoramento de rede.

Executar o binário com a chave correta para o parâmetro de criptografia -i desbloqueia as informações e, em seguida, permite que o malware procure arquivos e inicie um procedimento de criptografia multithread. O processo de execução do binário Cactus é de acordo com os parâmetros selecionados.

Além disso, o especialista em ransomware Micheal Gillespie também investigou como o Cactus criptografa dados e disse ao Bleeping Computer que o malware utiliza várias extensões para os arquivos que visa, dependendo dos dados processados.

À medida que prepara um arquivo para criptografia, o malware altera sua extensão para .CTSo, e após a criptografia, a extensão se torna .CTS1. Embora, segundo Micheal, o malware também tenha um modo rápido, que é uma passagem de criptografia leve.

Executar o Cactus em modo normal e rápido continuamente resulta na criptografia do mesmo arquivo duas vezes e na adição de uma nova extensão após cada processo, por exemplo, .CTS1, CTS17. De acordo com as observações da Kroll, o número no final da extensão .CTS variou em vários incidentes atribuídos ao malware Cactus.

Uma vez na rede, os atores da ameaça usaram uma tarefa agendada para acesso persistente usando uma porta de bloqueio SSH que é acessível a partir do servidor de comando e controle. De acordo com a investigação da Kroll, o Cactus depende do scanner de rede SoftPerfect para encontrar alvos interessantes na rede.

Agora, para uma observação mais profunda, o atacante usa um comando PowerShell para listar endpoints, identificar contas de usuário observando logins bem-sucedidos no Visualizador de Eventos do Windows e pingar hosts remotos.

Leia: Evil Extractor, ferramenta de roubo de dados causando estragos nos EUA e Europa

Além disso, os pesquisadores de segurança também descobriram que o malware está usando uma versão modificada da ferramenta de código aberto Psnmp, que é idêntica ao scanner de rede nmap em PowerShell.

O Cactus tenta vários métodos remotos para lançar várias ferramentas necessárias para o ataque através de ferramentas autênticas, por exemplo, AnyDesk e SuperOps RMM, juntamente com o Cobalt Strike e a ferramenta proxy baseada em Go, Chisel. Pesquisadores da Kroll dizem que, após a elevação de privilégios em uma máquina, os operadores de malware executam um lote que desinstala os produtos antivírus mais comumente usados.

Como a maioria das atividades de ransomware, o Cactus também rouba informações sensíveis da vítima; para esse procedimento, os atores da ameaça usam a ferramenta Rclone para transferir arquivos diretamente para o armazenamento em nuvem.

Após a exfiltração dos dados, o atacante usou um script PowerShell chamado TotalExec, que frequentemente ataca o Black Basta para automatizar o processo de criptografia. Bem, a rotina de criptografia dos ataques de ransomware Cactus é distinta.

No entanto, o processo não parece estar restrito apenas ao Cactus, pois um processo de criptografia semelhante também foi recentemente visto sendo usado pelo grupo de ransomware BlackBasta, disse Gillespie.

Embora, mesmo que os atacantes roubem os dados da vítima, parece que os atacantes não configuraram nenhum site de vazamento, o que geralmente é o caso com outras atividades de ransomware que estão envolvidas em dupla extorsão.

Atualmente, não há informações sobre o valor que o ransomware Cactus exige, mas, segundo relatos, está na casa dos milhões. Os atacantes ameaçam a vítima de publicar seus dados roubados, a menos que recebam o resgate.

Além disso, é claro que o ataque dos atacantes até agora aproveitou as vulnerabilidades no dispositivo VPN da Fortinet e, em seguida, seguiu a abordagem de dupla extorsão, roubando dados sensíveis antes de criptografá-los.

Leia: Golpes de Phishing Alvo de Contribuintes dos EUA com Malware de Acesso Remoto