Ransomware Cactus ima jedinstvenu taktiku za izbjegavanje antivirusa zbog čega borba protiv njega čini značajno teža
Istraživači su otkrili novu grupu ransomware-a pod nazivom Cactus, koja djeluje najmanje od marta 2023. godine. Cactus krade podatke i šifruje datoteke kao i druge operacije ransomware-a, ali koristi drugačiji metod kako bi izbjegao otkrivanje.
Riječ je o ciljanim napadima na velike komercijalne subjekte koji se realizuju iskorišćavanjem ranjivosti u popularnim VPN uređajima, zahvaljujući kojima napadači dobijaju inicijalni pristup mrežama žrtava. Žrtve su ucijenjene da isplate velike svote novca na ime otkupnine.
Napadači koriste taktike uobičajene u ransomware napadima – šifrovanje i krađu fajlova. Ali ono po čemu se razlikuju od drugih je nova taktika koju koriste da bi izbjegli otkrivanje – ransomware Cactus se sam šifruje da ga antivirusni softver ne bi otkrio, što borbu protiv njega čini značajno težom.
Stručnjaci za sajber bezbjednost u Kroll-u otkrili su da se Cactus ransomware infiltrira u mreže svojih žrtava iskorišćavajući bezjednosne propuste u VPN uređajima. Istraživači su primijetili da su hakeri uspjeli da uđu u ove mreže preko VPN servera koristeći kompromitovane VPN naloge.
Kako radi Cactus ransomware?
Cactus se izdvaja od ostalih operacija ransomware-a korišćenjem enkripcije za zaštitu svoje binarnosti. Kako bi izbjegli otkrivanje, napadači koriste paketnu skriptu i 7-Zip, popularni alat za kompresiju, za preuzimanje binarne šifre; oni zatim postavljaju binarni program šifriranja sa zastavicom za izvršavanje i uklanjaju originalnu ZIP arhivu.
Kroll istraživači su identifikovali tri osnovna načina izvršenja. Da bi uspostavili postojanost i uskladištili podatke u datoteku C:\ProgramData\ntuser.dat, napadači koriste argumente komandne linije -s (podešavanje) i -r (čitanje konfiguracije). Šifrator kasnije pristupa datoteci koristeći -r argument komandne linije.
Napadači daju jedinstveni AES ključ preko -i (šifriranje) argumenta komandne linije za izvođenje šifriranja datoteke. Ovaj ključ je potreban za dešifriranje konfiguracijske datoteke ransomware-a i javnog RSA ključa koji se koristi za šifriranje datoteka. HEX string koji sadrži ključ je tvrdo kodiran u binarni program šifrovanja, a dekodiranje otkriva šifrovane podatke koji se mogu otključati pomoću AES ključa.
Nakon izvršavanja binarne datoteke s odgovarajućim parametarskim ključem -i, podacima se može pristupiti, a zlonamjerni softver može pretraživati datoteke i pokrenuti proces šifrovanja sa više niti.
Ovaj nekonvencionalni pristup je uzbunio stručnjake za sajber bezbjednost, koji upozoravaju organizacije da moraju biti u stanju pripravnosti zbog takvih neuhvatljivih pretnji.
Da bi maksimizirao štetu, Cactus ransomware pokreće skriptu koja deinstalira najčešće korišćene antivirusne programe. Pre šifrovanja fajlova na kompromitovanim mašinama, podaci se eksfiltriraju na server u oblaku, a zatim se pokreće proces šifrovanja.
Cactus koristi više ekstenzija za šifrovane fajlove. Kada priprema fajl za šifrovanje, Cactus mijenja njegovu ekstenziju u .CTS0, a nakon šifrovanja u .CTS1. Osim toga, Cactus ima brzi način rada. Ransomware dva puta šifrira datoteke i dodaje novu ekstenziju nakon svakog procesa (.CTS1.CTS7) kada se pokrene i u brzom i u normalnom načinu rada.
Cactus-ove taktike i tehnike
Nakon što dobiju pristup mreži, napadači koriste planirani zadatak za održavanje trajnog pristupa kroz SSH backdoor kojem se može pristupiti sa komandnog i kontrolnog servera.
Kroll istraživači su otkrili da je Cactus koristio SoftPerfect Network Scanner (netscan) za traženje vrijednih ciljeva na mreži.
Da bi izvršio opsežnije izviđanje, napadač je koristio PowerShell komande za nabrajanje krajnjih tačaka, lociranje korisničkih naloga provjerom uspješnih prijava u Windows Event Viewer i pingovanje udaljenih hostova. Cactus ransomware je također koristio modifikovanu verziju PSnmap alata otvorenog koda, PowerShell ekvivalenta nmap mrežnom skeneru.
Operateri ransomware-a koriste više metoda daljinskog pristupa, uključujući legitimne alate kao što su Splashtop, AnyDesk i SuperOps RMM , kao i Cobalt Strike i proxy alat Chisel baziran na Go.
Nakon postizanja eskalacije privilegija na mašini, Cactus operateri pokreću paketnu skriptu koja uklanja najčešće korišćene antivirusne proizvode.
Kao i kod većine ransomware operacija, Cactus krade podatke od svojih žrtava. nakon toga, akter prijetnje prenosi ukradene datoteke direktno u oblaku pomoću alata Rclone. Nakon eksfiltracije podataka, napadači koriste PowerShell skriptu nazvanu TotalExec da automatizuju proces šifrovanja, tehniku koju grupa Black Basta ransomware često koristi.
Oni koji stoje iza ove kampanje još uvek nisu napravili namjenski web sajt za objavljivanje ukradenih podataka, kao što to uobičajeno rade slične grupe da bi izvršile dodatni pritisak na žrtve koje odbijaju da plate. Međutim, njihova poruka o otkupnini eksplicitno pominje objavljivanje ukradenih dokumenata ako žrtve odbiju da plate otkup. Za sada nema detalja o tome da li hakeri drže riječ i daju dekriptor žrtvama koje plate.
(IT mixer)
