Operasi ransomware baru yang disebut Cactus telah mengeksploitasi kerentanan pada peralatan VPN untuk akses awal ke jaringan “entitas komersial besar”.
Operasi ransomware Cactus telah aktif setidaknya sejak Maret dan mencari pembayaran besar dari para korbannya.
Sementara aktor ancaman baru mengadopsi taktik yang biasa terlihat dalam serangan ransomware – enkripsi file dan pencurian data – ia menambahkan sentuhannya sendiri untuk menghindari deteksi.
Pelintiran konfigurasi terenkripsi
Para peneliti di perusahaan investigasi Kroll dan firma konsultasi risiko percaya bahwa Cactus memperoleh akses awal ke jaringan korban dengan mengeksploitasi kerentanan yang diketahui dalam peralatan VPN Fortinet.
Penilaian didasarkan pada pengamatan bahwa dalam semua insiden yang diselidiki, peretas berputar di dalam dari server VPN dengan akun layanan VPN.
Apa yang membedakan Cactus dari operasi lain adalah penggunaan enkripsi untuk melindungi biner ransomware. Aktor menggunakan skrip batch untuk mendapatkan biner encryptor menggunakan 7-Zip.
Arsip ZIP asli dihapus dan biner disebarkan dengan bendera khusus yang memungkinkannya untuk dieksekusi. Seluruh proses tidak biasa dan para peneliti bahwa ini untuk mencegah deteksi enkripsi ransomware.
Dalam laporan teknis, penyelidik Kroll menjelaskan bahwa ada tiga mode eksekusi utama, masing-masing dipilih dengan menggunakan saklar baris perintah tertentu: setup (-S), baca konfigurasi (-R), dan enkripsi (-Saya).
Itu -S Dan -R argumen memungkinkan pelaku ancaman untuk mengatur kegigihan dan menyimpan data dalam a C:\ProgramData\ntuser.dat file yang nantinya dibaca oleh encryptor saat dijalankan dengan -R argumen baris perintah.
Agar enkripsi file dimungkinkan, kunci AES unik yang hanya diketahui oleh penyerang harus disediakan menggunakan -Saya argumen baris perintah.
Kunci ini diperlukan untuk mendekripsi file konfigurasi ransomware dan kunci RSA publik diperlukan untuk mengenkripsi file. Ini tersedia sebagai string HEX yang dikodekan dalam biner encryptor.
sumber: Krol
Decoding string HEX menyediakan sepotong data terenkripsi yang dibuka dengan kunci AES.
“CACTUS pada dasarnya mengenkripsi dirinya sendiri, membuatnya lebih sulit untuk dideteksi dan membantunya menghindari antivirus dan alat pemantauan jaringan,” kata Laurie Iacono, Associate Managing Director untuk Cyber Risk di Kroll, kepada Bleeping Computer.
Menjalankan biner dengan kunci yang benar untuk -Saya (enkripsi) parameter membuka kunci informasi dan memungkinkan malware untuk mencari file dan memulai proses enkripsi multi-utas.
Peneliti Kroll menyediakan diagram di bawah ini untuk lebih menjelaskan proses eksekusi biner Cactus sesuai parameter yang dipilih.
sumber: Krol
Pakar ransomware Michael Gillespie juga menganalisis bagaimana Cactus mengenkripsi data dan memberi tahu BleepingComputer bahwa malware menggunakan banyak ekstensi untuk file yang ditargetkan, tergantung pada status pemrosesan.
Saat menyiapkan file untuk enkripsi, Cactus mengubah ekstensinya menjadi .CTS0. Setelah enkripsi, ekstensi menjadi .CTS1.
Namun, Gillespie menjelaskan bahwa Cactus juga dapat memiliki “mode cepat”, yang mirip dengan sandi enkripsi ringan. Menjalankan malware dalam mode cepat dan normal secara berurutan menghasilkan enkripsi file yang sama dua kali dan menambahkan ekstensi baru setelah setiap proses (mis. CTS1.CTS7).
Kroll mengamati bahwa jumlah di akhir ekstensi .CTS bervariasi dalam beberapa insiden yang dikaitkan dengan ransomware Cactus.
Cactus ransomware TTP
Begitu berada di jaringan, pelaku ancaman menggunakan tugas terjadwal untuk akses persisten menggunakan pintu belakang SSH yang dapat dijangkau dari server perintah dan kontrol (C2).
Menurut penyelidik Kroll, Cactus mengandalkan SoftPerfect Network Scanner (netscan) untuk mencari target yang menarik di jaringan.
Untuk pengintaian yang lebih dalam, penyerang menggunakan perintah PowerShell untuk menghitung titik akhir, mengidentifikasi akun pengguna dengan melihat login yang berhasil di Windows Event Viewer, dan melakukan ping ke host jarak jauh.
Para peneliti juga menemukan bahwa ransomware Cactus menggunakan varian yang dimodifikasi dari PSnmap sumber terbuka Alat, yang setara dengan PowerShell dari nmap pemindai jaringan.
Untuk meluncurkan berbagai alat yang diperlukan untuk serangan itu, para penyelidik mengatakan bahwa ransomware Cactus mencoba beberapa metode akses jarak jauh melalui alat yang sah (misalnya Splashtop, AnyDesk, SuperOps RMM) bersama dengan Cobalt Strike dan alat proksi berbasis Go Pahat.
Penyelidik Kroll mengatakan bahwa setelah meningkatkan hak istimewa pada mesin, operator Cactus menjalankan skrip batch yang mencopot pemasangan produk antivirus yang paling umum digunakan.
Seperti kebanyakan operasi ransomware, Cactus juga mencuri data dari korban. Untuk proses ini, pelaku ancaman menggunakan alat Rclone untuk mentransfer file langsung ke penyimpanan cloud.
Setelah mengekstraksi data, para peretas menggunakan skrip PowerShell yang disebut TotalExec, yang sering terlihat dalam serangan ransomware BlackBasta, untuk mengotomatiskan penyebaran proses enkripsi.
Gillespie memberi tahu kami bahwa rutinitas enkripsi dalam serangan ransomware Cactus adalah unik. Meskipun demikian, tampaknya tidak khusus untuk Cactus karena proses enkripsi serupa juga telah diadopsi baru-baru ini oleh geng ransomware BlackBasta.
sumber: Krol
Saat ini tidak ada informasi publik tentang tebusan yang diminta Cactus dari korbannya tetapi BleepingComputer telah diberitahu oleh sumber bahwa jumlahnya jutaan.
Bahkan jika peretas mencuri data dari korban, tampaknya mereka belum membuat situs kebocoran seperti operasi ransomware lain yang terlibat dalam pemerasan ganda.
Namun, pelaku ancaman mengancam korban dengan menerbitkan file yang dicuri kecuali mereka dibayar. Ini eksplisit dalam catatan tebusan:
sumber: Krol
Detail ekstensif tentang operasi Cactus, korban yang mereka targetkan, dan jika peretas menepati janji dan memberikan dekripsi yang andal jika dibayar, tidak tersedia saat ini.
Yang jelas adalah bahwa serangan peretas sejauh ini kemungkinan besar memanfaatkan kerentanan dalam alat VPN Fortinet dan mengikuti pendekatan pemerasan ganda standar dengan mencuri data sebelum mengenkripsinya.
Menerapkan pembaruan perangkat lunak terbaru dari vendor, memantau jaringan untuk tugas eksfiltrasi data besar, dan merespons dengan cepat akan melindungi dari tahap akhir dan serangan ransomware yang paling merusak.
