Istraživači kibernetičke bezbjednosti bacili su svjetlo na novi ransomware soj pod nazivom CACTUS za koji je utvrđeno da koristi poznate nedostatke u VPN uređajima kako bi dobio početni pristup ciljanim mrežama.
“Kada uđu u mrežu, CACTUS hakeri pokušavaju nabrojati lokalne i mrežne korisničke račune pored dostupnih krajnjih tačaka prije nego što kreiraju nove korisničke račune i iskoriste prilagođene skripte za automatizaciju implementacije i detonacije ransomware enkriptora putem zakazanih zadataka” rekao je Kroll u izvještaju.
Od marta 2023. godine primijećeno je da ovaj ransomware cilja na velike komercijalne subjekte, s napadima koji koriste taktiku dvostruke iznude za krađu osjetljivih podataka prije šifrovanja. Do danas nije otkriveno nijedno mjesto za curenje podataka.
Nakon uspješne eksploatacije ranjivih VPN uređaja, postavlja se SSH backdoor za održavanje trajnog pristupa i izvršava se niz PowerShell komandi za obavljanje mrežnog skeniranja i identifikaciju liste mašina za šifrovanje.
CACTUS napadi takođe koriste Cobalt Strike i alat za tunelisanje koji se naziva Chisel za komandu i kontrolu, zajedno sa softverom za daljinsko praćenje i upravljanje (RMM) kao što je AnyDesk za prosljeđivanje datoteka na zaražene hostove.
Poduzeti su i koraci za onemogućavanje i deinstaliranje sigurnosnih rešenja, kao i izdvajanje kredencijala iz web pretraživača i usluge podsistema lokalnog sigurnosnog autoriteta (LSASS) za povećanje privilegija.
Eskalacija privilegija je praćena lateralnim pomeranjem, eksfiltracijom podataka i primenom ransomware-a, od kojih se poslednje postiže pomoću PowerShell skripte koju je takođe koristio Black Basta.
Novi aspekt CACTUS-a je upotreba batch skripte za ekstraktovanje ransomware binarnog fajla sa 7-Zip-om, nakon čega sledi uklanjanje .7z arhive pre izvršavanja payload-a.
“CACTUS se u suštini šifruje, što ga čini težim za otkrivanje i pomaže mu da izbjegne antivirusne i alate za praćenje mreže” rekla je Laurie Iacono, pomoćnica direktora za kibernetički rizik u Krollu.
“Ova nova ransomware varijanta pod imenom CACTUS koristi ranjivost u popularnom VPN uređaju, pokazujući da hakeri nastavljaju ciljati usluge udaljenog pristupa i nezakrpljene ranjivosti za početni pristup.”
Razvoj dolazi nekoliko dana nakon što je Trend Micro rasvijetlio drugu vrstu ransomware-a poznatu kao Rapture koji ima neke sličnosti s drugim porodicama kao što je Paradise.
“Cijeli lanac infekcije traje najviše tri do pet dana” rekla je kompanija, a prvo izviđanje praćeno je implementacijom Cobalt Strike-a, koji se zatim koristi za izbacivanje .NET-baziranog ransomware-a.
Sumnja se da je upad omogućen putem ranjivih javnih web lokacija i servera, zbog čega je neophodno da kompanije preduzmu korake kako bi sisteme održavale ažurnim i sprovodile princip najmanje privilegija (PoLP).
“Iako njegovi operateri koriste alate i resurse koji su lako dostupni, uspjeli su ih koristiti na način koji poboljšava Rapture sposobnosti čineći ga skrivenijim i težim za analizu” rekao je Trend Micro.
CACTUS i Rapture su najnoviji dodaci dugačkoj listi novih porodica ransomware-a koji su izašli na svjetlo dana posljednjih sedmica, uključujući Gazprom, BlackBit, UNIZA, Akira i varijantu ransomwarea NoCry pod nazivom Kadavro Vector.
Izvor: The Hacker News
