Οι ερευνητές κυβερνοασφάλειας έριξαν φως σε ένα νέο στέλεχος ransomware με την ονομασία CACTUS, το οποίο βρέθηκε να αξιοποιεί γνωστές αδυναμίες σε συσκευές VPN προκειμένου να αποκτήσει αρχική πρόσβαση σε στοχευμένα δίκτυα.

“Μόλις εισέλθουν στο δίκτυο, οι δράστες του CACTUS προσπαθούν να απαριθμήσουν τους λογαριασμούς τοπικών και δικτυακών χρηστών, εκτός από τα προσβάσιμα, πριν δημιουργήσουν νέους λογαριασμούς χρηστών και αξιοποιήσουν προσαρμοσμένα σενάρια για να αυτοματοποιήσουν την ανάπτυξη και την πυροδότηση του ransomware encryptor μέσω προγραμματισμένων εργασιών”, αναφέρει η Kroll σε μια έκθεση που μοιράστηκε με το The Hacker News.

Το ransomware έχει παρατηρηθεί να στοχεύει μεγάλες εμπορικές οντότητες από τον Μάρτιο του 2021, με επιθέσεις που χρησιμοποιούν τακτικές διπλού εκβιασμού για την κλοπή ευαίσθητων δεδομένων πριν από την κρυπτογράφηση. Μέχρι σήμερα δεν έχει εντοπιστεί καμία τοποθεσία διαρροής δεδομένων.

Μετά από μια επιτυχή εκμετάλλευση ευάλωτων συσκευών VPN, δημιουργείται μια κερκόπορτα SSH για να διατηρηθεί η μόνιμη πρόσβαση και εκτελείται μια σειρά εντολών PowerShell για τη διεξαγωγή σάρωσης δικτύου και τον εντοπισμό μιας λίστας μηχανημάτων για κρυπτογράφηση.

Οι επιθέσεις CACTUS χρησιμοποιούν επίσης το Cobalt Strike και ένα εργαλείο που αναφέρεται ως Chisel για εντολές και έλεγχο, μαζί με λογισμικό απομακρυσμένης παρακολούθησης και διαχείρισης (RMM), όπως το AnyDesk, για να προωθούν αρχεία στους μολυσμένους υπολογιστές.

Έχουν επίσης ληφθεί μέτρα για την απενεργοποίηση και την απεγκατάσταση λύσεων ασφαλείας, καθώς και για την εξαγωγή διαπιστευτηρίων από προγράμματα περιήγησης ιστού και την υπηρεσία τοπικού υποσυστήματος αρχών ασφαλείας (LSASS) με σκοπό την κλιμάκωση των προνομίων.

Η κλιμάκωση των προνομίων ακολουθείται από πλευρική μετακίνηση, διαρροή δεδομένων και ανάπτυξη ransomware. Το τελευταίο επιτυγχάνεται μέσω ενός σεναρίου PowerShell, το οποίο έχει χρησιμοποιηθεί και από τη Black Basta.

Μια νέα πτυχή του CACTUS είναι η χρήση ενός batch script για την εξαγωγή του ransomware binary με τη χρήση του 7-Zip, ακολουθούμενη από την αφαίρεση του αρχείου .7z πριν από την εκτέλεση του payload.

“Το CACTUS ουσιαστικά κρυπτογραφεί τον εαυτό του, καθιστώντας τον πιο δύσκολο τον εντοπισμό και βοηθώντας το να αποφύγει τα εργαλεία προστασίας από ιούς και την παρακολούθηση δικτύων”, δήλωσε στο The Hacker News η Laurie Iacono, αναπληρωτής διευθύνων σύμβουλος για τον κυβερνοχώρο στην Kroll.

“Αυτή η νέα παραλλαγή ransomware με το όνομα CACTUS αξιοποιεί μια ευπάθεια σε μια δημοφιλή συσκευή VPN, δείχνοντας ότι οι απειλητικοί παράγοντες συνεχίζουν να στοχεύουν υπηρεσίες απομακρυσμένης πρόσβασης και μη επιδιορθωμένα τρωτά σημεία για αρχική πρόσβαση.”

Η εξέλιξη αυτή έρχεται λίγες ημέρες αφότου η Trend Micro έριξε φως σε έναν άλλο τύπο ransomware, γνωστό ως Rapture, ο οποίος έχει κάποιες ομοιότητες με άλλες οικογένειες όπως το Paradise.

“Ολόκληρη η αλυσίδα μόλυνσης διαρκεί τρεις έως πέντε ημέρες το πολύ”, δήλωσε η εταιρεία, με την αρχική αναγνώριση να ακολουθείται από την ανάπτυξη του Cobalt Strike, το οποίο στη συνέχεια χρησιμοποιείται για το drop του ransomware που βασίζεται στο .NET.

Το intrusion εικάζεται ότι διευκολύνθηκε μέσω ευάλωτων ιστότοπων και διακομιστών με δημόσια πρόσβαση, καθιστώντας επιτακτική την ανάγκη οι εταιρείες να λαμβάνουν μέτρα για να διατηρούν τα συστήματά τους ενημερωμένα και να εφαρμόζουν την αρχή των λιγότερων προνομίων (PoLP).

«Παρόλο που οι χειριστές του χρησιμοποιούν εργαλεία και πόρους που είναι άμεσα διαθέσιμοι, κατάφεραν να τα χρησιμοποιήσουν με τρόπο που ενισχύει τις δυνατότητες του Rapture καθιστώντας το πιο κρυφό και πιο δύσκολο στην ανάλυσή του», δήλωσε η Trend Micro.

Το CACTUS και το Rapture είναι οι τελευταίες προσθήκες σε έναν μακρύ κατάλογο νέων οικογενειών ransomware που έχουν έρθει στο φως τις τελευταίες εβδομάδες, συμπεριλαμβανομένων των Gazprom, BlackBit, UNIZA, Akira και μιας παραλλαγής του ransomware NoCry που ονομάζεται Kadavro Vector.

Πηγή: thehackernews.com

Αφήστε ένα Σχόλιο

Το e-mail σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *

Διαβάστε επίσης

Τα έσοδα του Darknet μειώθηκαν μετά το κλείσιμο της Hydra

Το 2022, η darknet αγορά Hydra έκλεισε, οδηγώντας σε μια μαζική αλλαγή στον κόσμο των drugs και άλλων παράνομων αγαθών. Η εταιρεία ανάλυσης blockchain Chainalysis ανέφερε ότι με βάση τα δεδομένα blockchain, πολλοί darknet vendors που χρησιμοποιούσαν την Hydra μεταπήδησαν στην OMG!OMG!, μια εναλλακτική αγορά.

Google AudioPaLM: AI που ακούει, μιλάει, και μεταφράζει, με εκπληκτική ακρίβεια

Η τεχνολογίες τεχνητής νοημοσύνης εξελίσσεται συνεχώς. Μπορεί πολλοί άνθρωποι χρησιμοποιούν AI για να ολοκληρώνουν τις εργασίες τους πιο εύκολα, αυτή η τεχνολογία μπορεί να προσφέρει πολύ περισσότερα.

FBI: “Κλείνει” domains που συνδέονταν με DDoS-for-hire υπηρεσίες

Το Υπουργείο Δικαιοσύνης των ΗΠΑ ανακοίνωσε ότι το FBI προχώρησε σε κατάσχεση 13 νέων domains που σχετίζονται με πλατφόρμες DDoS-for-hire, γνωστές ως “booter” ή “stressor” υπηρεσίες.