Recentemente, o Cactus, um novo tipo de ransomware que explora especificamente vulnerabilidades conhecidas em dispositivos VPN, está se espalhando pela Internet desde pelo menos março, exceto pelo acesso inicial à rede de “grandes empresas comerciais” e extorquir grandes somas de resgate de vítimas. Além de criptografar os dados roubados para extorquir resgate como ransomware comum, esse malware também criptografa a si mesmo para evitar a detecção de segurança.
Pesquisadores da Kroll, uma empresa de investigação e consultoria de risco, acreditam que a Cactus primeiro explorou uma vulnerabilidade conhecida no equipamento Fortinet VPN para obter acesso inicial à rede da vítima. A investigação descobriu que todos os hackers entraram na intranet corporativa de servidores VPN com contas de serviço VPN.
A maior diferença entre o Cactus e o ransomware anterior é que o binário do ransomware é protegido por criptografia. Os hackers executariam em lote o script para obter o binário do criptografador via 7-Zip. O arquivo Zip original é excluído e o binário é implantado com sinalizadores específicos que permitem a execução. Todo o processo é bastante incomum, e os pesquisadores acreditam que é tudo para evitar que o criptografador do ransomware seja detectado pelo mecanismo de segurança.
Laurie Iacono, vice-gerente geral de risco cibernético da Kroll, enfatizou que o Cactus basicamente criptografa a si mesmo para tornar-se mais difícil de detectar, evitando com sucesso ferramentas antivírus e de monitoramento de rede. O especialista em ransomware Michael Gillespie também analisou a maneira como o Cactus criptografa os dados e descobriu que o malware usará várias extensões para os arquivos de destino de acordo com o status do processamento. Por exemplo, ao preparar arquivos criptografados, o Cactus mudará a extensão para .Altere para .CTS1.
Faça bom uso de várias ferramentas legais para desinstalar o software antivírus mais comum
Em termos de estratégia, tecnologia e procedimentos de ataque do Cactus, uma vez que ele entra na rede, o agente da ameaça agendará tarefas e usará o programa SSH backdoor obtido do servidor de controle principal (C2 Server) para acesso contínuo.
Os investigadores da Kroll também observaram que a Cactus conta com o scanner de rede SoftPerfect NetScan para vasculhar a web em busca de alvos de interesse. Os invasores também usam comandos do PowerShell para enumerar pontos de extremidade para um reconhecimento mais profundo. Em seguida, use o Visualizador de eventos do Windows (Visualizador de eventos) para visualizar os registros relacionados ao login bem-sucedido para identificar a conta do usuário e use o ping para detectar o status e o endereço IP do host remoto.
Os pesquisadores também descobriram que o Cactus usa uma versão modificada da ferramenta de código aberto Psnmap, o equivalente do PowerShell ao scanner de rede nmap. Para lançar as várias ferramentas necessárias para o ataque, os investigadores disseram que a Cactus tentou vários métodos de acesso remoto por meio de ferramentas legítimas, como Splashtop, AnyDeskt e SuperOps RMM, junto com o Cobalt Strike e a ferramenta de proxy baseada em Go Chisel. Depois de aumentar os privilégios de uma máquina, os hackers do Cactus executam scripts em lote para desinstalar os produtos antivírus mais usados.
Em termos de roubo de dados da vítima, os invasores usam a ferramenta Rclone para transferir arquivos diretamente para o armazenamento em nuvem. Depois de roubar os dados, os hackers usaram especificamente um script PowerShell chamado TotalExec (comum em ataques de ransomware BlackBasta) para implantar automaticamente o processo de criptografia.
Embora atualmente não haja informações públicas sobre o resgate exigido por Cactus das vítimas, algumas fontes apontam que o resgate está na casa dos milhões de dólares.
Mais histórias
Transfira tudo o que preza com um novo aparelho de TV Fire disponível na Amazon.
Visite o Walmart para comprar um par de AirPods Pro recondicionados por US$ 89.
Elon Musk apresentou o Cybertruck “destinado à fabricação”.