search
itItaliano
banner
Casa / Notizia / Ransomware CACTUS
Notizia
pageSearch
Ultime notizie

Ransomware CACTUS

Sep 08, 2023Sep 08, 2023

Mercoledì 10 maggio 2023

Laurie Iacono

Stefano Verde

Dave Truman

Gli analisti di Kroll Cyber ​​Threat Intelligence hanno identificato un nuovo ceppo di ransomware, denominato CACTUS, che prende di mira grandi entità commerciali da marzo 2023. Il nome "CACTUS" deriva dal nome file fornito nella richiesta di riscatto, cAcTuS.readme.txt, e dall'auto- nome dichiarato all'interno della richiesta di riscatto stessa. Ai file crittografati viene aggiunto .cts1, anche se Kroll nota che è stato osservato che il numero alla fine dell'estensione varia a seconda degli incidenti e delle vittime. Kroll ha osservato l'esfiltrazione di dati sensibili e l'estorsione delle vittime tramite il servizio di messaggistica peer-to-peer noto come Tox, ma al momento dell'analisi non è stato identificato un sito di fuga di dati noto alle vittime.

Nell'esperienza di Kroll, CACTUS ha implementato una serie di tattiche, tecniche e procedure (TTP) sovrapposte. Questi includono l'uso di strumenti come Chisel, Rclone, TotalExec, Attività pianificate e script personalizzati per disabilitare il software di sicurezza per distribuire il binario del ransomware. Kroll ha osservato che gli autori delle minacce ottengono l'accesso iniziale attraverso lo sfruttamento di dispositivi VPN. È interessante notare che è stato osservato che CACTUS sfrutta un file denominato ntuser.dat all'interno di C:\ProgramData per passare una chiave AES per decrittografare la chiave pubblica RSA per decrittografare il file binario, che viene utilizzato per l'esecuzione persistente tramite attività pianificate.

Sulla base delle informazioni disponibili al momento della stesura di questo bollettino, l'exploit iniziale della Fase 1 più probabile del ciclo di vita delle intrusioni di Kroll viene fornito tramite lo sfruttamento di dispositivi VPN vulnerabili. Questa tattica è stata valutata e osservata come un filo conduttore in diversi incidenti CACTUS su cui Kroll ha indagato. In tutti i casi osservati, l'accesso dell'autore della minaccia è stato ottenuto da un server VPN con un account del servizio VPN. Successivamente, viene creata una backdoor SSH per il comando e controllo dell'autore della minaccia (C2) per mantenere l'accesso persistente tramite attività pianificate.

Figura 1 – install.bat

MITRE ATT&CK - T1190: sfruttare l'applicazione rivolta al pubblicoMITRE ATT&CK - T1021.004: SSHMITRE ATT&CK - T1053.005: attività pianificata

Una volta all'interno della rete, l'autore della minaccia effettua uno scouting interno iniziale tramite SoftPerfect Network Scanner (netscan). I comandi di PowerShell vengono eseguiti per enumerare gli endpoint, visualizzare gli eventi di sicurezza di Windows 4624 per identificare gli account utente ed eseguire il ping degli endpoint remoti. L'output di questi comandi viene salvato in file di testo sul computer host. I file di output vengono successivamente utilizzati per l'esecuzione del file binario del ransomware.

Figura 2 – Enumerazione di PowerShell

Kroll ha anche identificato una versione modificata di uno script open source che funge da equivalente NMAP per PowerShell, denominato PSnmap.ps1. Questo viene eseguito anche per identificare altri endpoint all'interno della rete.

MITRE ATT&CK - T1049: Rilevamento connessioni di rete del sistemaMITRE ATT&CK - T1087.002: Account di dominioMITRE ATT&CK - T1018: Rilevamento sistema remotoMITRE ATT&CK - T1087: Rilevamento account

Per mantenere la persistenza nell'ambiente, l'autore della minaccia tenta di creare una serie di metodi di accesso remoto. Kroll ha identificato l'uso di strumenti di accesso remoto legittimi come Splashtop, AnyDesk e SuperOps RMM, insieme a Cobalt Strike e l'uso di Chisel, uno strumento proxy SOCKS5. Chisel aiuta a incanalare il traffico attraverso i firewall per fornire comunicazioni nascoste al C2 dell'autore della minaccia ed è probabilmente utilizzato per inserire script e strumenti aggiuntivi sull'endpoint.

Una volta che l'autore della minaccia ha stabilito il livello di accesso corretto (vedi: Escalation), esegue uno script batch che sfrutta msiexec per disinstallare il comune software antivirus tramite il GUID del software e, in almeno un (1) incidente, Bitdefender programma di disinstallazione come mostrato nella Figura 3.

Figura 3 – Sezione dello script batch per disattivare l'antivirus

MITRE ATT&CK - T1219: Software di accesso remotoMITRE ATT&CK - T1090: ProxyMITRE ATT&CK - T1562.001: Disabilita o modifica strumenti