Quer apoiar meu projeto de divulgação de noticias? E ainda divulgar suas redes sociais
Agora é possivel Veja a noticia completa em: https://www.bleepingcomputer.com/news/security/new-cactus-ransomware-encrypts-itself-to-evade-antivirus/
Fonte: https://www.bleepingcomputer.com
Achou esse artigo interessante? Siga canalfsociety em
Instagram,
Facebook,
Telegram,
Twitter,
App Boletim Tec e
App Mr Robot Sticker para ler mais conteúdo exclusivo que postamos. #samirnews #samir #news #boletimtec #novo #ransomware #cactus #se #criptografa #para #escapar #de #antivírus
Uma nova operação de ransomware chamada Cactus vem explorando vulnerabilidades em aparelhos VPN para acesso inicial a redes de “grandes entidades comerciais”.
A operação de ransomware Cactus está ativa desde pelo menos março e está procurando grandes pagamentos de suas vítimas.
Enquanto o novo ator de ameaça adotou as táticas usuais vistas em ataques de ransomware - criptografia de arquivos e roubo de dados - ele adicionou seu próprio toque para evitar a detecção.
Torção de configuração criptografada
Os pesquisadores da empresa de investigação corporativa e consultoria de risco Kroll acreditam que a Cactus obtém acesso inicial à rede da vítima explorando vulnerabilidades conhecidas nos dispositivos Fortinet VPN.
A avaliação é baseada na observação de que, em todos os incidentes investigados, o hacker fez pivot dentro de um servidor VPN com uma conta de serviço VPN.
O que diferencia o Cactus de outras operações é o uso de criptografia para proteger o binário do ransomware. O ator usa um script em lote para obter o binário do criptografador usando 7-Zip.
O arquivo ZIP original é removido e o binário é implantado com um sinalizador específico que permite sua execução. Todo o processo é incomum e os pesquisadores acreditam que isso impede a detecção do criptografador do ransomware.
Em um relatório técnico, os investigadores da Kroll explicam que existem três modos principais de execução, cada um selecionado com o uso de uma opção de linha de comando específica: configuração (-s), configuração de leitura (-r) e criptografia (-i).
Os argumentos -s e -r permitem que os agentes de ameaça configurem persistência e armazenem dados em um arquivo C:\ProgramData\ntuser.dat que é lido posteriormente pelo criptografador ao executar com o argumento de linha de comando -r.
Para que a criptografia do arquivo seja possível, no entanto, uma chave AES exclusiva, conhecida apenas pelos invasores, deve ser fornecida usando o argumento de linha de comando -i.
Essa chave é necessária para descriptografar o arquivo de configuração do ransomware e a chave RSA pública necessária para criptografar os arquivos. Ele está disponível como uma string HEX codificada no binário do criptografador.
Cadeia hexadecimal para configuração de ransomware Cactus criptografadafonte: Kroll
A decodificação da string HEX fornece uma parte dos dados criptografados que são desbloqueados com a chave AES.
“O CACTUS essencialmente criptografa a si mesmo, dificultando a detecção e ajudando-o a escapar das ferramentas antivírus e de monitoramento de rede”, disse Laurie Iacono, diretora administrativa associada de risco cibernético da Kroll, à Bleeping Computer.
Executar o binário com a chave correta para o parâmetro -i (criptografia) desbloqueia as informações e permite que o malware procure arquivos e inicie um processo de criptografia multithread.
Os pesquisadores da Kroll forneceram o diagrama abaixo para explicar melhor o processo de execução binária do Cactus de acordo com o parâmetro selecionado.
Cactus ransomware fonte de fluxo de execução binária: Kroll
O especialista em ransomware Michael Gillespie também analisou como o Cactus criptografa dados e disse ao BleepingComputer que o malware usa várias extensões para os arquivos visados, dependendo do estado de processamento.
Ao preparar um arquivo para criptografia, o Cactus altera sua extensão para .CTS0. Após a criptografia, a extensão se torna .CTS1.
No entanto, Gillespie explicou que o Cactus também pode ter um "modo rápido", semelhante a um passe de criptografia leve. A execução consecutiva do malware no modo rápido e normal resulta na criptografia do mesmo arquivo duas vezes e na adição de uma nova extensão após cada processo (por exemplo, .CTS1.CTS7).
Kroll observou que o número no final da extensão .CTS variava em vários incidentes atribuídos ao ransomware Cactus.
Cactus ransomware TTP
Uma vez na rede, o agente da ameaça usou uma tarefa agendada para acesso persistente usando um backdoor SSH acessível a partir do servidor de comando e controle (C2).
De acordo com os investigadores da Kroll, a Cactus contou com o SoftPerfect Network Scanner (netscan) para procurar alvos interessantes na rede.
Para um reconhecimento mais profundo, o invasor usou comandos do PowerShell para enumerar pontos de extremidade, identificar contas de usuário visualizando logins bem-sucedidos no Visualizador de eventos do Windows e executar ping em hosts remotos.
Os pesquisadores também descobriram que o ransomware Cactus usava uma variante modificada da ferramenta PSnmap de código aberto, que é um equivalente do PowerShell ao scanner de rede nmap.
Para lançar várias ferramentas necessárias para o ataque, os investigadores dizem que o Cactus ransomware tenta vários métodos de acesso remoto por meio de ferramentas legítimas (por exemplo, Splashtop, AnyDesk, SuperOps RMM), juntamente com o Cobalt Strike e a ferramenta de proxy baseada em Go Chisel.
Os investigadores da Kroll dizem que, depois de aumentar os privilégios em uma máquina, os operadores do Cactus executam um script em lote que desinstala os produtos antivírus mais usados.
Como a maioria das operações de ransomware, o Cactus também rouba dados da vítima. Para esse processo, o agente da ameaça usa a ferramenta Rclone para transferir arquivos diretamente para o armazenamento em nuvem.
Depois de exfiltrar os dados, os hackers usaram um script do PowerShell chamado TotalExec, frequentemente visto em ataques de ransomware BlackBasta, para automatizar a implantação do processo de criptografia.
Gillespie nos disse que a rotina de criptografia nos ataques de ransomware Cactus é única. Apesar disso, não parece ser específica do Cactus, pois um processo de criptografia semelhante também foi adotado recentemente pela gangue de ransomware BlackBasta.
Táticas, técnicas e procedimentos do ransomware Cactusfonte: Kroll
No momento, não há informações públicas sobre os resgates que Cactus exige de suas vítimas, mas BleepingComputer foi informado por uma fonte de que eles estão na casa dos milhões.
Mesmo que os hackers roubem dados das vítimas, parece que eles não criaram um site de vazamento como outras operações de ransomware envolvidas em dupla extorsão.
No entanto, o agente da ameaça ameaça as vítimas com a publicação dos arquivos roubados, a menos que sejam pagos. Isso está explícito na nota de resgate:
Nota de resgate do Cactus ameaça publicar fonte de dados roubada: Kroll
Detalhes extensos sobre a operação do Cactus, as vítimas que visam e se os hackers mantêm sua palavra e fornecem um descriptografador confiável se pago, não estão disponíveis no momento.
O que está claro é que as incursões dos hackers até agora provavelmente aproveitaram as vulnerabilidades no dispositivo Fortinet VPN e seguem a abordagem padrão de dupla extorsão roubando dados antes de criptografá-los.
Aplicar as atualizações de software mais recentes do fornecedor, monitorar a rede em busca de grandes tarefas de exfiltração de dados e responder rapidamente deve proteger dos estágios finais e mais prejudiciais de um ataque de ransomware.
Postar um comentário