El nuevo 'ransomware' CACTUS abusa de las herramientas de administración remota
En los ataques vistos hasta el momento, obtiene acceso explotando vulnerabilidades conocidas en dispositivos VPN, se mueve lateralmente a otros sistemas e implementa herramientas legítimas de administración y monitorización remota para lograr la persistencia en la red.
Un grupo de ciberdelincuentes ha estado comprometiendo redes corporativas durante los dos últimos meses y ha estado implementando un nuevo ransomware que los investigadores han llamado CACTUS. En los ataques vistos hasta el momento, obtiene acceso explotando vulnerabilidades conocidas en dispositivos VPN, se mueve lateralmente a otros sistemas e implementa herramientas legítimas de administración y monitorización remota para lograr la persistencia en la red.
“La denominación CACTUS se deriva del nombre de archivo proporcionado en la nota de rescate, cAcTUS.readme.txt, y el nombre autodeclarado dentro de la propia nota”, según Kroll Cyber Threat Intelligence. Los archivos cifrados se adjuntan con .cts1, aunque la empresa de ciberseguridad señala que el número al final de la extensión varía según los incidentes y las víctimas. Además, la exfiltración de datos confidenciales y la extorsión se hace a través de conocidos servicios de mensajería como Tox.
Intrusión inicial y movimiento lateral
En todos los casos investigados por Kroll, los atacantes lograron su punto de apoyo inicial en un dispositivo VPN utilizando una cuenta de servicio y luego implementaron una puerta trasera SSH que se conectó nuevamente a su servidor de comando y control (C2) y se ejecutó a través de una tarea programada.
Esta actividad fue seguida inmediatamente por el reconocimiento de la red utilizando un escáner de red comercial de Windows fabricado por una empresa australiana llamada SoftPerfect. Se usaron comandos y secuencias de comandos adicionales de PowerShell para enumerar las computadoras en la red y extraer cuentas de usuario del registro de eventos de seguridad de Windows. En algunos casos, también se ha observado otro script de escaneo de red basado en PowerShell llamado PSnmap.ps1.
Luego, el grupo descarga las credenciales de LSASS y busca archivos locales que puedan contener contraseñas para identificar cuentas que podrían permitirles saltar a otros sistemas a través del protocolo de escritorio remoto (RDP) y otros métodos. Para mantener la persistencia en los sistemas que comprometieron, los atacantes implementan herramientas RMM como Splashtop, AnyDesk y SuperOps, así como el implante Cobalt Strike o el proxy Chisel SOCKS5. El abuso de herramientas RMM legítimas es una técnica común entre los actores de amenazas.
"Chisel ayuda a canalizar el tráfico a través de los cortafuegos para proporcionar comunicaciones ocultas al C2 del actor de amenazas y probablemente se use para extraer secuencias de comandos y herramientas adicionales en el punto final", dijeron los investigadores de Kroll. Uno de estos scripts utiliza la herramienta msiexec de Windows para intentar desinstalar programas antivirus comunes. En un caso, los atacantes incluso utilizaron la herramienta de desinstalación de Bitdefender.
Despliegue del ransomware CACTUS
Una vez que el grupo ha identificado los sistemas con datos confidenciales, utiliza la herramienta Rclone para filtrar la información a las cuentas de almacenamiento en la nube y se prepara para implementar el programa ransomware. Para hacer esto, aprovecha un script llamado TotalExec.ps1 que también han utilizado los ciberdelincuentes detrás del ransomware BlackBasta.
Primero, los atacantes implementan un script por lotes llamado f1.bat que crea una nueva cuenta de usuario administrador en el sistema y agrega un script secundario llamado f2.bat a la lista de ejecución automática del sistema. Este script extrae el binario del ransomware de un archivo 7zip y lo ejecuta con una serie de banderas. La herramienta PsExec también se usa para ejecutar el binario en sistemas remotos.
El binario de ransomware tiene tres modos de ejecución basados ??en las banderas que se le pasan: instalación, configuración y encriptación. En el modo de configuración, creará un archivo llamado C:\ProgramData\ntuser.dat que contiene datos de configuración cifrados para el ransomware. Luego crea una tarea programada que ejecuta el ataque.
Cuando se ejecuta con el indicador de cifrado, el binario de ransomware extraerá y descifrará una clave pública RSA codificada. Luego comienza a generar claves AES para el cifrado de archivos, y esas claves luego se cifran con la clave pública RSA. El proceso aprovecha la implementación de Envelope de la biblioteca OpenSSL, lo que significa que el archivo cifrado resultante también contendrá la clave AES cifrada que se usó para cifrar el archivo. Para recuperar la clave AES, el usuario necesita la clave RSA privada, que está en manos de los atacantes.
El informe de Kroll incluye un desglose de tácticas, técnicas y procedimientos (TTP) según el marco MITRE ATT&CK, junto con indicadores de compromiso. Los investigadores recomiendan mantener actualizados los sistemas públicos, como los dispositivos VPN, implementar administradores de contraseñas y autenticación de dos factores, monitorizar los sistemas para la ejecución de PowerShell y registrar su uso, auditar las cuentas de administrador y servicio, implementar los principios de privilegios mínimos y revisar la copia de seguridad y estrategias para incluir al menos una copia de seguridad aislada de la red empresarial.
