Вымогатель Cactus использует уязвимость VPN для атаки на крупные предприятия

Новая активность вымогателя под названием Cactus распространяется и использует уязвимость в виртуальной частной сети (VPN) для первоначального доступа к сетям крупных предприятий. Вымогатель Cactus активен как минимум с марта и стремится вымогать огромные суммы у жертв.

Теперь злоумышленники использовали все обычные методы вымогателей, такие как шифрование файлов и кража данных, хотя злоумышленник добавил свой собственный подход, чтобы избежать обнаружения. Исследователи безопасности из консалтинговой компании Kroll считают, что вымогатель получает первоначальный доступ, используя известную уязвимость в VPN-устройствах Fortinet.

Оценка основана на наблюдении, что во всех расследуемых случаях злоумышленник проникает через учетную запись сервиса VPN. Теперь то, что отличает Cactus от других активностей, — это использование шифрования для защиты бинарного файла вымогателя, поэтому злоумышленники используют пакетный скрипт для получения бинарного файла шифровщика с помощью 7-Zip.

После этого оригинальный 7-Zip удаляется, а бинарный файл разворачивается с определенным флагом, который позволяет ему выполняться. Вся процедура необычна, и, по словам исследователей, она выполняется для предотвращения обнаружения шифровщика вымогателя.

В своем техническом отчете Kroll упоминает, что существует три способа выполнения, и каждый из них выбирается с использованием определенного параметра командной строки: установка (-s), чтение конфигурации (-r) и шифрование (-i).

Аргументы -s и -r позволяют злоумышленникам установить постоянство и хранить данные в файле C:\ProgrammeData\ntuser.dat, который считывается шифровщиком, когда он работает с аргументом командной строки -r, а для работы шифрования файла должен быть предоставлен уникальный ключ AES, известный только злоумышленнику, с использованием аргументов командной строки -i.

Читать: Вредоносное ПО LOBSHOT, распространяющееся через Google Ads, выдавая себя за подлинное программное обеспечение для удаленного управления

Ключ необходим для расшифровки файла конфигурации вымогателя, а открытый RSA-ключ необходим для шифрования файлов. Поскольку он доступен в виде HEX-строки, которая закодирована в бинарном файле шифровщика, декодирование HEX-строки дает часть зашифрованных данных, которые разблокируются с помощью ключа AES.

Лори Лаконо, заместитель управляющего директора по киберрискам в Kroll, заявила, что Cactus по сути шифрует себя, что затрудняет его обнаружение и помогает избежать антивирусных и сетевых средств мониторинга.

Запуск бинарного файла с правильным ключом для параметра шифрования -i разблокирует информацию и затем позволяет вредоносному ПО искать файлы и начинать многофайловую процедуру шифрования. Процесс выполнения бинарного файла Cactus соответствует выбранным параметрам.

Кроме того, эксперт по вымогателям Мишель Гиллеспи также исследовал, как Cactus шифрует данные, и сообщил Bleeping Computer, что вредоносное ПО использует несколько расширений для файлов, на которые оно нацелено, в зависимости от обрабатываемых данных.

Когда оно подготавливает файл для шифрования, вредоносное ПО изменяет его расширение на .CTSo, а после шифрования расширение становится .CTS1. Хотя, по словам Мишеля, вредоносное ПО также имеет быстрый режим, который представляет собой легкий проход шифрования.

Запуск Cactus в нормальном и быстром режиме постоянно приводит к шифрованию одного и того же файла дважды и добавлению нового расширения после каждого процесса, например .CTS1, CTS17. Согласно наблюдениям Kroll, номер в конце расширения .CTS варьировался в многочисленных инцидентах, связанных с вредоносным ПО Cactus.

Оказавшись в сети, злоумышленники использовали запланированную задачу для постоянного доступа с помощью SSH-задней двери, доступной с сервера командования и управления. Согласно расследованию Kroll, Cactus зависит от сканера сети SoftPerfect для поиска интересных целей в сети.

Теперь для более глубокого наблюдения злоумышленник использует команду PowerShell для перечисления конечных точек, идентификации учетных записей пользователей, просматривая успешные входы в Windows Event Viewer, и пингует удаленные хосты.

Читать: Вредоносное ПО Evil Extractor, инструмент кражи данных, вызывающий хаос в США и Европе

Кроме того, исследователи безопасности также обнаружили, что вредоносное ПО использует модифицированную версию инструмента с открытым исходным кодом Psnmp, который идентичен сканеру сети nmap на PowerShell.

Cactus пытается использовать множество удаленных методов для запуска различных инструментов, необходимых для атаки через подлинные инструменты, например, AnyDesk и SuperOps RMM, наряду с Cobalt Strike и прокси-инструментом на основе Go Chisel. Исследователи из Kroll утверждают, что после повышения привилегий на машине операторы вредоносного ПО запускают пакет, который удаляет наиболее часто используемые антивирусные продукты.

Как и большинство активностей вымогателей, Cactus также крадет конфиденциальную информацию у жертвы; для этой процедуры злоумышленники используют инструмент Rclone для передачи файлов непосредственно в облачное хранилище.

После эксфильтрации данных злоумышленник использует скрипт PowerShell под названием TotalExec, который часто используется в атаках Black Basta, чтобы автоматизировать процесс шифрования. Процедура шифрования атак вымогателя Cactus уникальна.

Тем не менее, процесс, похоже, не ограничивается только Cactus, так как аналогичный процесс шифрования также недавно наблюдался у группы вымогателей BlackBasta, сообщил Гиллеспи.

Хотя злоумышленники и крадут данные жертвы, но, похоже, они не создали никаких утечек, что обычно бывает с другими активностями вымогателей, которые участвуют в двойном вымогательстве.

В настоящее время нет информации о том, какую сумму вымогатель Cactus требует, но, согласно отчетам, это миллионы. Злоумышленники угрожают жертве опубликовать их украденные данные, если они не заплатят выкуп.

Более того, очевидно, что атака злоумышленников до сих пор использовала уязвимости в устройстве VPN Fortinet, а затем следовала двойному стандарту двойного вымогательства, крадя конфиденциальные данные перед их шифрованием.

Читать: Фишинговые схемы, нацеленные на налогоплательщиков США с вредоносным ПО для удаленного доступа