Οι ερευνητές κυβερνοασφάλειας έριξαν φως σε ένα νέο στέλεχος ransomware με την ονομασία CACTUS, το οποίο βρέθηκε να αξιοποιεί γνωστές αδυναμίες σε συσκευές VPN προκειμένου να αποκτήσει αρχική πρόσβαση σε στοχευμένα δίκτυα.
Δείτε επίσης: Το CERT-UA προειδοποιεί για επιθέσεις malware SmokeLoader και RoarBAT κατά της Ουκρανίας
“Μόλις εισέλθουν στο δίκτυο, οι δράστες του CACTUS προσπαθούν να απαριθμήσουν τους λογαριασμούς τοπικών και δικτυακών χρηστών, εκτός από τα προσβάσιμα, πριν δημιουργήσουν νέους λογαριασμούς χρηστών και αξιοποιήσουν προσαρμοσμένα σενάρια για να αυτοματοποιήσουν την ανάπτυξη και την πυροδότηση του ransomware encryptor μέσω προγραμματισμένων εργασιών”, αναφέρει η Kroll σε μια έκθεση που μοιράστηκε με το The Hacker News.
Δείτε επίσης: FBI: “Κλείνει” domains που συνδέονταν με DDoS-for-hire υπηρεσίες
Το ransomware έχει παρατηρηθεί να στοχεύει μεγάλες εμπορικές οντότητες από τον Μάρτιο του 2021, με επιθέσεις που χρησιμοποιούν τακτικές διπλού εκβιασμού για την κλοπή ευαίσθητων δεδομένων πριν από την κρυπτογράφηση. Μέχρι σήμερα δεν έχει εντοπιστεί καμία τοποθεσία διαρροής δεδομένων.
Μετά από μια επιτυχή εκμετάλλευση ευάλωτων συσκευών VPN, δημιουργείται μια κερκόπορτα SSH για να διατηρηθεί η μόνιμη πρόσβαση και εκτελείται μια σειρά εντολών PowerShell για τη διεξαγωγή σάρωσης δικτύου και τον εντοπισμό μιας λίστας μηχανημάτων για κρυπτογράφηση.
Οι επιθέσεις CACTUS χρησιμοποιούν επίσης το Cobalt Strike και ένα εργαλείο που αναφέρεται ως Chisel για εντολές και έλεγχο, μαζί με λογισμικό απομακρυσμένης παρακολούθησης και διαχείρισης (RMM), όπως το AnyDesk, για να προωθούν αρχεία στους μολυσμένους υπολογιστές.
Δείτε επίσης: Microsoft: Ιρανικές ομάδες hacking συμμετέχουν στις συνεχιζόμενες επιθέσεις Papercut
Έχουν επίσης ληφθεί μέτρα για την απενεργοποίηση και την απεγκατάσταση λύσεων ασφαλείας, καθώς και για την εξαγωγή διαπιστευτηρίων από προγράμματα περιήγησης ιστού και την υπηρεσία τοπικού υποσυστήματος αρχών ασφαλείας (LSASS) με σκοπό την κλιμάκωση των προνομίων.
Η κλιμάκωση των προνομίων ακολουθείται από πλευρική μετακίνηση, διαρροή δεδομένων και ανάπτυξη ransomware. Το τελευταίο επιτυγχάνεται μέσω ενός σεναρίου PowerShell, το οποίο έχει χρησιμοποιηθεί και από τη Black Basta.
Μια νέα πτυχή του CACTUS είναι η χρήση ενός batch script για την εξαγωγή του ransomware binary με τη χρήση του 7-Zip, ακολουθούμενη από την αφαίρεση του αρχείου .7z πριν από την εκτέλεση του payload.
“Το CACTUS ουσιαστικά κρυπτογραφεί τον εαυτό του, καθιστώντας τον πιο δύσκολο τον εντοπισμό και βοηθώντας το να αποφύγει τα εργαλεία προστασίας από ιούς και την παρακολούθηση δικτύων”, δήλωσε στο The Hacker News η Laurie Iacono, αναπληρωτής διευθύνων σύμβουλος για τον κυβερνοχώρο στην Kroll.
“Αυτή η νέα παραλλαγή ransomware με το όνομα CACTUS αξιοποιεί μια ευπάθεια σε μια δημοφιλή συσκευή VPN, δείχνοντας ότι οι απειλητικοί παράγοντες συνεχίζουν να στοχεύουν υπηρεσίες απομακρυσμένης πρόσβασης και μη επιδιορθωμένα τρωτά σημεία για αρχική πρόσβαση.”
Η εξέλιξη αυτή έρχεται λίγες ημέρες αφότου η Trend Micro έριξε φως σε έναν άλλο τύπο ransomware, γνωστό ως Rapture, ο οποίος έχει κάποιες ομοιότητες με άλλες οικογένειες όπως το Paradise.
“Ολόκληρη η αλυσίδα μόλυνσης διαρκεί τρεις έως πέντε ημέρες το πολύ”, δήλωσε η εταιρεία, με την αρχική αναγνώριση να ακολουθείται από την ανάπτυξη του Cobalt Strike, το οποίο στη συνέχεια χρησιμοποιείται για το drop του ransomware που βασίζεται στο .NET.
Το intrusion εικάζεται ότι διευκολύνθηκε μέσω ευάλωτων ιστότοπων και διακομιστών με δημόσια πρόσβαση, καθιστώντας επιτακτική την ανάγκη οι εταιρείες να λαμβάνουν μέτρα για να διατηρούν τα συστήματά τους ενημερωμένα και να εφαρμόζουν την αρχή των λιγότερων προνομίων (PoLP).
«Παρόλο που οι χειριστές του χρησιμοποιούν εργαλεία και πόρους που είναι άμεσα διαθέσιμοι, κατάφεραν να τα χρησιμοποιήσουν με τρόπο που ενισχύει τις δυνατότητες του Rapture καθιστώντας το πιο κρυφό και πιο δύσκολο στην ανάλυσή του», δήλωσε η Trend Micro.
Το CACTUS και το Rapture είναι οι τελευταίες προσθήκες σε έναν μακρύ κατάλογο νέων οικογενειών ransomware που έχουν έρθει στο φως τις τελευταίες εβδομάδες, συμπεριλαμβανομένων των Gazprom, BlackBit, UNIZA, Akira και μιας παραλλαγής του ransomware NoCry που ονομάζεται Kadavro Vector.
Πηγή πληροφοριών: thehackernews.com
