MKD-CIRT National Centre for Computer Incident Response
Новата ransomware операција, наречена Cactus, ги искористува пропустите во Fortinet VPN за првичен пристап до мрежите на жртвите.
Cactus ransomware операцијата е активна од март и бара големи исплати од своите жртви.
Додека новиот хакер ја усвои вообичаената тактика која се користи во ransomware нападите – шифрирање датотеки и кражба на податоци – тој додаде свој придонес за да избегне откривање.
Истражувачите од Kroll фирмата за корпоративни истраги и консултантски ризици веруваат дека Cactus добива првичен пристап до мрежата на жртвите со искористување на познатите пропусти во Fortinet VPN уредите.
Она што го издвојува Cactus од другите операции е употребата на енкрипција за заштита на бинарната верзија на ransomware. Хакерот користи серија скрипти за да го добие бинарниот енкриптор користејќи 7-Zip.
Оригиналната ZIP архива е отстранета и бинарната е распоредена со специфично знаменце што му овозможува да се изврши.
Во технички извештај, истражувачите од Kroll објаснуваат дека постојат три главни начини на извршување, секој од нив избран со употреба на специфичен прекинувач на командната линија: setup (-s), read configuration (-r) и encryption (-i).
Аргументите -s и -r на хакерите им овозможуваат да воспостават сила и да складираат податоци во C:\ProgramData\ntuser.dat датотеката што подоцна се чита од енкрипторот кога работи со аргументот на командната линија -r.
Меѓутоа, за да може шифрирањето на датотеката да биде возможно, уникатен клуч AES познат само на хакерите мора да се обезбеди со помош на аргументот на командната линија -i.
Овој клуч е неопходен за дешифрирање на конфигурациската датотека на ransomware и јавниот клуч RSA потребен за шифрирање на датотеките. Достапно е како HEX низа хардкодирана во бинарниот енкриптор.
Декодирањето на HEX низата обезбедува дел од шифрирани податоци што се отклучуваат со AES клучот.
„CACTUS во суштина се шифрира себеси, што го отежнува откривањето и помага да ги избегне антивирусните и мрежните алатки за следење“, изјави Laurie Iacono, Асоцијативен директор за сајбер ризик во Kroll.
Извршувањето на бинарната со точниот клуч за параметарот -i (encryption) ги отклучува информациите и му овозможува на малициозниот софтвер да бара датотеки и да започне процес на шифрирање со повеќе нишки.
Ransomware експертот Michael Gillespie, исто така, анализираше како Cactus ги шифрира податоците и за BleepingComputer изјави дека малициозниот софтвер користи повеќе екстензии за датотеките што ги таргетира, во зависност од состојбата на обработка.
Кога подготвува датотека за шифрирање, Cactus ја менува својата екстензија во .CTS0. По шифрирањето, наставката станува .CTS1.
Gillespie објасни дека Cactus може да има и „брз режим“. Работењето на малициозен софтвер во брз и нормален режим последователно резултира со шифрирање на истата датотека двапати и додавање нова екстензија по секој процес (на пр. .CTS1.CTS7).
Kroll забележал дека бројот на крајот од .CTS екстензијата варира во повеќе инциденти кои му се припишуваат на Cactus ransomware.
Штом навлезе во мрежата, хакерот користеше закажана задача за постојан пристап користејќи SSH backdoor достапна од command & control (C2) серверот.
Според истражувачите од Kroll, Cactus се потпирал на SoftPerfect Network Scanner (netscan) за да бара интересни цели на мрежата.
За подлабоко извидување, хакерот ги користел PowerShell командите за да ги набројува крајните точки, да ги идентификува корисничките сметки со прегледување на успешни најавувања во Windows Event Viewer и да пингува далечински хостови.
Истражувачите, исто така, открија дека Cactus ransomware користи модифицирана варијанта на PSnmap алатката со отворен код, што е PowerShell еквивалент на мрежниот скенер nmap.
За лансирање на различни алатки потребни за нападот, истражувачите изјавија дека Cactus ransomware испробува повеќе методи за далечински пристап преку легитимни алатки (на пр. Splashtop, AnyDesk, SuperOps RMM) заедно со Cobalt Strike и Go-базираната proxy алатка Chisel.
Истражувачите од Kroll изјавија дека по зголемувањето на привилегиите на машината, Cactus хакерите извршуваат серија скрипти што ги деинсталира најчесто користените антивирусни производи.
Како и повеќето ransomware операции, така и Cactus краде податоци од жртвата. За овој процес, хакерот ја користи Rclone алатката за пренос на датотеки директно за складирање во облак.
По ексфилтрација на податоците, хакерите користеле PowerShell скрипта наречена TotalExec, често забележана во BlackBasta ransomware нападите, за да го автоматизираат ширењето на процесот на шифрирање.
Gillespie изјави дека рутината за шифрирање во Cactus ransomware нападите е уникатна. И покрај тоа, се чини дека таа не е посебна за Cactus бидејќи сличен процес на шифрирање исто така неодамна беше усвоен од страна на BlackBasta ransomware групата.
Во моментов нема јавни информации за откупите што Cactus ги бара од своите жртви, но за BleepingComputer изјавија дека тие се во милиони.
Хакерот им се заканува на жртвите дека ќе ги објави украдените датотеки доколку не му се плати.
Пошироки детали за Cactus операцијата, жртвите што ги таргетираат и дали хакерите ќе си го одржат зборот и обезбедат сигурен декриптор доколку им се плати, во моментов не се достапни.
Она што е јасно е дека досегашните упади на хакерите веројатно ги искористиле пропустите во Fortinet VPN уредот и го следат стандардниот пристап за двојно изнудување со кражба на податоци пред да ги шифрираат.
Примената на најновите софтверски ажурирања од продавачот, следењето на мрежата и брзото реагирање треба да заштити од последната и најштетна фаза на ransomware нападот.
Извор: BleepingComputer