search
ptPortuguês
banner
Lar / blog / Ransomware CACTUS
blog
pageSearch
Últimas notícias

Ransomware CACTUS

Aug 31, 2023Aug 31, 2023

Quarta-feira, 10 de maio de 2023

Laurie Iacono

Stephen Green

Dave Truman

Os analistas da Kroll Cyber ​​Threat Intelligence identificaram um novo tipo de ransomware, chamado CACTUS, direcionado a grandes entidades comerciais desde março de 2023. O nome "CACTUS" é derivado do nome do arquivo fornecido na nota de resgate, cAcTuS.readme.txt, e o auto- nome declarado dentro da própria nota de resgate. Os arquivos criptografados são anexados com .cts1, embora Kroll observe que o número no final da extensão variou entre os incidentes e as vítimas. A Kroll observou exfiltração de dados confidenciais e extorsão de vítimas pelo serviço de mensagens ponto a ponto conhecido como Tox, mas um site conhecido de vazamento de vítimas não foi identificado no momento da análise.

Na experiência da Kroll, o CACTUS implantou um conjunto sobreposto de táticas, técnicas e procedimentos (TTPs). Isso inclui o uso de ferramentas como Chisel, Rclone, TotalExec, Scheduled Tasks e scripts personalizados para desabilitar o software de segurança para distribuir o ransomware binário. A Kroll observou que os agentes de ameaças obtiveram acesso inicial por meio da exploração de dispositivos VPN. Curiosamente, o CACTUS foi observado aproveitando um arquivo chamado ntuser.dat em C:\ProgramData para passar uma chave AES para descriptografar a chave pública RSA para descriptografar o binário, que é usado para execução persistente por meio de tarefas agendadas.

Com base nas informações disponíveis no momento deste boletim, a exploração inicial de estágio 1 mais provável do ciclo de vida de intrusão da Kroll é fornecida por meio da exploração de dispositivos VPN vulneráveis. Essa tática foi avaliada e observada como um traço comum em vários incidentes do CACTUS que a Kroll investigou. Em todos os casos observados, o acesso do agente da ameaça foi obtido de um servidor VPN com uma conta de serviço VPN. Em seguida, um backdoor SSH é estabelecido para o comando e controle do ator da ameaça (C2) para manter o acesso persistente por meio de Tarefas agendadas.

Figura 1 – install.bat

MITRE ATT&CK - T1190: Explorar aplicativo público MITRE ATT&CK - T1021.004: SSHMITRE ATT&CK - T1053.005: Tarefa agendada

Uma vez dentro da rede, o agente da ameaça conduz a exploração interna inicial por meio do SoftPerfect Network Scanner (netscan). Os comandos do PowerShell são executados para enumerar pontos de extremidade, exibir eventos do Windows Security 4624 para identificar contas de usuário e executar ping em pontos de extremidade remotos. A saída desses comandos é salva em arquivos de texto na máquina host. Os arquivos de saída são usados ​​posteriormente para execução do binário do ransomware.

Figura 2 – Enumeração do PowerShell

A Kroll também identificou uma versão modificada de um script de código aberto que atua como um equivalente NMAP para o PowerShell, chamado PSnmap.ps1. Isso também é executado para identificar outros terminais na rede.

MITRE ATT&CK - T1049: Descoberta de Conexões de Rede do SistemaMITRE ATT&CK - T1087.002: Conta de DomínioMITRE ATT&CK - T1018: Descoberta de Sistema RemotoMITRE ATT&CK - T1087: Descoberta de Conta

Para manter a persistência no ambiente, o agente da ameaça tenta criar vários métodos de acesso remoto. A Kroll identificou o uso de ferramentas legítimas de acesso remoto, como Splashtop, AnyDesk e SuperOps RMM, juntamente com o Cobalt Strike e o uso do Chisel, uma ferramenta de proxy SOCKS5. O Chisel auxilia no tráfego de túnel através de firewalls para fornecer comunicações ocultas ao C2 do agente da ameaça e provavelmente é usado para puxar scripts e ferramentas adicionais para o endpoint.

Uma vez que o agente da ameaça tenha estabelecido o nível correto de acesso (consulte: Escalação), ele executa um script em lote que aproveita o msiexec para desinstalar o software antivírus comum por meio do GUID do software e, em pelo menos um (1) incidente, o Bitdefender desinstalador conforme mostrado na Figura 3.

Figura 3 – Seção do Batch Script para Desabilitar o Antivírus

MITRE ATT&CK - T1219: Software de Acesso Remoto MITRE ATT&CK - T1090: ProxyMITRE ATT&CK - T1562.001: Desativar ou Modificar Ferramentas