Cercetătorii în domeniul securității cibernetice au dezvăluit un nou tip de ransomware numit CACTUS, care a fost descoperit că utilizează defecte cunoscute în aparatele VPN pentru a obține acces inițial la rețelele țintite.
Când au pătruns în rețea, actorii CACTUS încearcă să enumere conturile locale și de rețea ale utilizatorilor, în plus față de endpoint-urile accesibile, înainte de a crea noi conturi de utilizator și de a folosi scripturi personalizate pentru a automatiza implementarea și detonarea criptorului ransomware prin sarcini programate.
Ransomware-ul a fost observat că vizează entități comerciale mari începând cu martie 2023, cu atacuri care utilizează tactici de extorsiune dublă pentru a fura date sensibile înainte de criptare. Până în prezent, nu a fost identificat niciun site de scurgere de date.
După exploatarea cu succes a dispozitivelor VPN vulnerabile, se stabilește o ușă din spate SSH pentru a menține accesul persistent și se execută o serie de comenzi PowerShell pentru a efectua scanarea rețelei și a identifica o listă de mașini pentru criptare.
Atacurile CACTUS utilizează, de asemenea, Cobalt Strike și o unealtă de tunelare numită Chisel pentru comandă și control, alături de software-uri de monitorizare și gestionare la distanță (RMM) precum AnyDesk pentru a împinge fișiere către gazdele infectate.
Sunt luate și măsuri pentru dezactivarea și dezinstalarea soluțiilor de securitate, precum și extragerea de credențiale din browserele web și din Serviciul Subsistemului Local de Securitate (LSASS) pentru escaladarea privilegiilor.
Escaladarea privilegiilor este urmată de mișcarea laterală, extragerea de date și implementarea ransomware-ului, ultima dintre acestea fiind realizată cu ajutorul unui script PowerShell care a fost folosit și de Black Basta.
Un aspect nou al CACTUS este utilizarea unui script batch pentru a extrage binarul ransomware-ului cu 7-Zip, urmată de ștergerea arhivei .7z înainte de a executa încărcătura.
Acest nou tip de ransomware sub numele de CACTUS utilizează o vulnerabilitate într-un aparat VPN popular, arătând că actorii de amenințare continuă să vizeze serviciile de acces la distanță și vulnerabilitățile nepatchate pentru acces inițial.
Această dezvoltare vine la scurt timp după ce Trend Micro a adus în atenție un alt tip de ransomware cunoscut sub numele de Rapture, care prezintă unele asemănări cu alte familii, precum Paradise.