Nuevo ransomware emergente llamado CACTUS

De acuerdo a una investigación de Kroll, se ha identificado una nueva cepa de ransomware dirigida a grandes entidades comerciales a la que llamaron CACTUS;  que aprovecha vulnerabilidades documentadas de dispositivos VPN para conseguir acceso inicial. Según los investigadores, CACTUS Ransomware se encuentra activa desde al menos marzo del presente año.

¿Cómo opera?

Según lo observado en la investigación, CACTUS implementa un conjunto superpuesto de tácticas, técnicas y procedimientos (TTP) para lograr comprometer a sus víctimas. Estos incluyen el uso de herramientas como Chisel, Rclone, TotalExec, tareas programadas y scripts personalizados para deshabilitar el software de seguridad y distribuir el binario del ransomware.

Acceso Inicial

Para conseguir el acceso inicial el ransomware CACTUS, usa vulnerabilidades conocidas de dispositivos VPN, aprovechando un archivo llamado ntuser[.]dat dentro de C:\ProgramData para pasar una clave AES que descifrará la clave pública RSA que permitirá descifrar el binario, que establecerá la backdoor por SSH para el C&C  que utilizará para la ejecución persistente a través de tareas programadas.

Una vez dentro de la red, el actor de amenazas realiza una exploración interna inicial a través de SoftPerfect Network Scanner (netscan). Los comandos de PowerShell se ejecutan para enumerar puntos finales, ver eventos de seguridad de Windows 4624 para identificar cuentas de usuario y hacer ping a puntos finales remotos. La salida de estos comandos se guarda en archivos de texto en la máquina host. Los archivos de salida se utilizan posteriormente para la ejecución del binario de ransomware.

Para mantener la persistencia dentro del entorno, el actor de amenazas intenta crear una serie de métodos de acceso remoto a través de herramientas legítimas como Splashtop, AnyDesk y SuperOps RMM, junto con Cobalt Strike y el uso de Chisel, una herramienta de proxy SOCKS5. Chisel ayuda a canalizar el tráfico a través de los cortafuegos para proporcionar comunicaciones ocultas al C2 del actor de amenazas que podría permitir extraer secuencias de comandos y herramientas adicionales en el punto final.

Una vez que el autor de la amenaza ha establecido el nivel de acceso correcto, ejecuta un script por lotes que aprovecha msiexec para desinstalar el software antivirus común a través del GUID del software.

Posteriormente para el movimiento lateral, el actor de amenazas intenta volcar las credenciales de los navegadores web de los usuarios y buscar manualmente en el disco un archivo que contenga contraseñas. Además, también pueden intentar volcar las credenciales de LSASS para una escalada de privilegios posterior. Luego, se aprovecha un script por lotes adicional para agregar cuentas privilegiadas a puntos finales remotos.

Ejecución del cifrado

Para la ejecución del Ransomware , los actores de amenaza usan herramientas de exfiltración comunes, como Rclone, para extraer automáticamente archivos al almacenamiento en la nube y posteriormente ejecutar el un script ( f1[.]bat ) también observado en operaciones de ransomware de BLACKBASTA conocido como TotalExec[.]ps1 que usa PsExec para automatizar la implementación del cifrador.

El script es usado inicialmente para crear un nuevo administrador cuenta de usuario que luego agrega un segundo script llamado f2[.]bat como una ejecución automática a nivel de máquina antes de reiniciar el dispositivo. El f2[.]bat es un script por lotes que se usa para extraer el binario del cifrador de ransomware con 7zip antes de eliminar el archivo zip y ejecutar el binario con un indicador establecido que permite que se ejecute el binario. Luego, PsExec lo ejecuta de forma remota en la lista de dispositivos en el archivo ips[.]txt creado anteriormente.

_{Ilustración 1:  Ejecución f2[.]bat de Ransomware Encryptor Binary}

Nota de rescate

Una vez  se ejecuta el cifrado de los archivos de la víctima, se ejecutan los modos de configuración que le permitirá al binario copiarse a sí mismo en la ruta C:\ProgramData\{Victim_ID}[.]exe, por ejemplo: C:\ProgramData\abc1-d2ef-gh3i-4jkl[.]exe.

Luego, el ransomware escribe un archivo de configuración codificado hexadecimal envuelto con datos basura en C:\ProgramData\ntuser[.]dat que contiene la ruta al exe original, una cadena base64 que se pasó con el argumento de línea de comando "-i" con cualquier resto argumentos de la línea de comandos. La cadena hexadecimal se ofusca aún más empujando la alineación de cada representación de byte de dos caracteres en un carácter para posteriormente ejecutar la tarea programada.

Posteriormente a ello se ejecuta el modo de decodificación utilizando el algoritmo AES y agregando el texto sin formato resultante en un objeto de clave pública RSA.

_{Ilustración 2:  Ejecución descifrado AES de la clave RSA pública}

Una vez ejecutado el cifrado de los archivos se agregan con la extensión "cts\d" y el último carácter es un dígito intercambiable. Luego se crea una nota de rescate llamada "cAcTuS[.]readme[.]txt" con detalles sobre cómo la víctima puede negociar a través del chat TOX.

_{Ilustración 3:  Nota de rescate de CACTUS}

Tácticas técnicas y procedimientos usadas

A continuación, se muestra el mapeo de Mitre ATT&CK de acuerdo a CACTUS ransomware.

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

• Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
• Las campañas de phishing se caracterizan por tener faltas de ortografía o errores en el diseño. Revisa el contenido con detención, y desconfía de correos con imperfecciones.
• Desconfía de los correos alarmantes. Si un mensaje le indica o incentiva a tomar decisiones apresuradas o en un tiempo limitado, probablemente se trata de phishing.
• Disponer de sistemas antispam para correos electrónicos, de esta manera se reducen las posibilidades de infección a través de campañas masivas de malspam por correo electrónico.
• Proteger el protocolo RDP:
  • Deshabilite los servicios RDP, si no es necesario. La desactivación de servicios no utilizados e innecesarios ayuda a reducir su exposición a las vulnerabilidades de seguridad, y es una buena práctica de seguridad.
  • Si no es posible cerrarlos, límite las direcciones de origen que pueden acceder a los puertos.
  • Proteger el acceso a los sistemas RDP, bloqueando el sistema local en lugar del sistema remoto. Incluso si el primero no tiene valor, la sesión RDP solo estará protegida limitando el acceso al sistema cliente.
  • Desconectar sesiones RDP en lugar de bloquearlas, esto invalida la sesión actual, lo que impide una reconexión automática de la sesión RDP sin credenciales.
  • Bloquear bidireccionalmente el puerto TCP 3389 utilizando un firewall o hacerlo accesible sólo a través de una VPN privada.
  • Habilitar la autenticación de nivel de red (NLA).
• Tener políticas de respaldo periódico que se almacenen fuera de la red organizacional.
• Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.
• Mantener una buena estrategia de respaldo de información: sistemas de copias de seguridad que deben estar aisladas de la red; y políticas de seguridad. Lo anterior permitirá neutralizar el ataque, restaurar las operaciones y evitar el pago del rescate.
• Actualizar los equipos con Windows a las últimas versiones.
• Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
• Establecer políticas de seguridad en el sistema para impedir la ejecución de ficheros desde directorios comúnmente utilizados por Ransomware (App Data, Local App Data, etc.)
• Mantener listas de control de acceso para las unidades mapeadas en red restringiendo los privilegios de escritura. Con esto podrá identificar el impacto generado por el cifrado de archivos, entendiendo que el secuestro de información se producirá en todas las unidades de red mapeadas en el equipo víctima.
• Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.