E’ stato scoperto un nuovo ransomware denominato Cactus che ha iniziato a colpire le appliance VPN, utilizzate per l’accesso iniziate alle reti di grandi aziende internazionali.
I ricercatori della società di consulenza aziendale e di consulenza sui rischi Kroll ritengono che Cactus ottenga l’accesso iniziale alla rete della vittima sfruttando vulnerabilità note nelle appliance VPN Fortinet. Ciò che distingue Cactus dalle altre operazioni è l’uso della crittografia per proteggere il file binario del ransomware. Gli autori dell’attacco utilizzano uno script batch per ottenere il binario del ransomware utilizzando 7-Zip. L’archivio ZIP originale viene rimosso e il file binario viene distribuito con un flag specifico che ne consente l’esecuzione. L’intero processo è insolito e i ricercatori affermano che ciò serve a impedire il rilevamento del malware.
In un rapporto tecnico, gli investigatori di Kroll spiegano che esistono tre modalità principali di esecuzione, ciascuna selezionata con l’uso di uno specifico interruttore della riga di comando: configurazione (-s) , configurazione di lettura (-r) e crittografia (-i). A seconda della modalità scelta, è possibile impostare la persistenza ed eseguire specifici comandi. Gli argomenti -s e -r consentono agli attori delle minacce di configurare la persistenza e archiviare i dati in un file C:\ProgramData\ntuser.dat che viene successivamente letto dal codificatore.
Affinché la crittografia del file sia possibile, tuttavia, è necessario fornire una chiave AES univoca nota solo agli aggressori utilizzando l’argomento della riga di comando -i. Questa chiave è necessaria per decrittografare il file di configurazione del ransomware e la chiave pubblica RSA necessaria per crittografare i file. È disponibile come stringa HEX codificata nel codice binario del codificatore. L’esecuzione del file binario con la chiave corretta per il parametro -i (crittografia) sblocca le informazioni e consente al malware di cercare i file e avviare un processo di crittografia multi-thread.
Per lanciare vari strumenti necessari per l’attacco, gli investigatori affermano che Cactus ransomware prova diversi metodi di accesso remoto attraverso strumenti legittimi (ad esempio Splashtop, AnyDesk, SuperOps RMM) insieme a Cobalt Strike e allo strumento proxy basato su Go Chisel. Dopo aver esfiltrato i dati, gli hacker utilizzano uno script PowerShell chiamato TotalExec, spesso presente negli attacchi ransomware BlackBasta, per automatizzare l’implementazione del processo di crittografia.
Applicare gli ultimi aggiornamenti software del fornitore, monitorare la rete per attività di esfiltrazione di dati di grandi dimensioni e rispondere rapidamente agli attacchi dovrebbe proteggere dalle fasi finali e più dannose di questo ransomware.