I ricercatori della società di consulenza Kroll hanno scoperto un nuovo ransomware chiamato “Cactus” che alle “usuali” tattiche osservate negli attacchi ransomware (crittografia dei file e furto di dati) ha aggiunto il proprio tocco per evitare il rilevamento: cripta i propri file binari per superare i controlli di sicurezza.
Cactus è attivo almeno da marzo e sta cercando grandi guadagni dalle sue vittime. Ha sfruttato le vulnerabilità presenti nelle appliance VPN per l’accesso iniziale alle reti di “grandi entità commerciali”.
I ricercatori ritengono che questo ransomware ottenga l’accesso iniziale alla rete della vittima sfruttando vulnerabilità note nelle appliance VPN Fortinet.
Ciò che distingue Cactus dalle altre operazioni è l’uso della crittografia per proteggere il file binario del ransomware. L’attore dietro Cactus utilizza uno script batch per ottenere il binario dell’encryptor utilizzando 7-Zip. L’archivio ZIP originale viene rimosso e il file binario viene installato con un flag specifico che ne consente l’esecuzione. L’intero processo è insolito e i ricercatori affermano che ciò serve a impedire il rilevamento dell’encryptor.
Una volta ottenuto l’accesso alla rete, l’attaccante utilizza una backdoor SSH raggiungibile dal server di comando e controllo (C2) per avere il controllo persistente sui dispositivi. Inoltre, Cactus utilizza SoftPerfect Network Scanner (netscan) per individuare i target più interessanti sulla rete.
Per una ricognizione più approfondita, l’attaccante utilizza i comandi di PowerShell per enumerare gli endpoint, identificare gli account utente visualizzando gli accessi riusciti nel Visualizzatore eventi di Windows ed eseguire il ping degli host remoti.
I ricercatori hanno anche scoperto che questo ransomware utilizza una variante modificata del tool open source PSnmap, che è un equivalente di PowerShell dello scanner di rete nmap.
Per lanciare vari tool necessari per l’attacco, Cactus prova diversi metodi di accesso remoto attraverso tool legittimi come Splashtop, AnyDesk, SuperOps RMM insieme a Cobalt Strike e al tool Chisel.
Dopo aver aumentato i privilegi su una macchina, l’operatore di Cactus esegue uno script batch che disinstalla i prodotti antivirus più comunemente utilizzati. L’attaccante utilizza una chiave AES per decriptare il ransomware: eseguendo il binario con la chiave corretta, Cactus dà il via a un processo multi-thread per cifrare file e cartelle.
Come la maggior parte delle operazioni ransomware, anche Cactus ruba dati alla vittima. Per questo processo, l’autore della minaccia utilizza lo strumento Rclone per trasferire i file direttamente nell’archivio cloud.
Dopo aver esfiltrato i dati, l’hacker utilizza uno script PowerShell chiamato TotalExec per automatizzare l’implementazione del processo di crittografia.
Al momento non si hanno informazioni pubbliche sui riscatti che Cactus chiede alle sue vittime ma secondo una fonte sarebbero milioni. Sembra che gli hacker non abbiano creato un sito di fuga. Tuttavia, l’autore dietro Cactus minaccia le vittime di pubblicare i file rubati a meno se non pagano il riscatto.
Ulteriori dettagli estesi sull’operazione Cactus non sono ancora disponibili così come le vittime prese di mira e se gli hacker mantengono la parola data e forniscono un decryptor affidabile laddove pagato il riscatto. Ciò che è invece chiaro è che le incursioni finora hanno probabilmente sfruttato le vulnerabilità nell’appliance VPN Fortinet e seguono l’approccio standard della doppia estorsione rubando i dati prima di crittografarli.
Pertanto, gli esperti consigliano di applicare gli ultimi aggiornamenti software del fornitore, monitorare la rete per attività di esfiltrazione di dati di grandi dimensioni e rispondere rapidamente per proteggere dalle fasi finali e più dannose di un attacco ransomware.
https://www.securityinfo.it/2023/05/09/cactus-ransomware-autocripta-antivirus/