De acuerdo a una investigación de Kroll, se ha identificado una nueva cepa de ransomware dirigida a grandes entidades comerciales a la que llamaron CACTUS; que aprovecha vulnerabilidades documentadas de dispositivos VPN para conseguir acceso inicial. Según los investigadores, CACTUS Ransomware se encuentra activa desde al menos marzo del presente año.
¿Cómo opera?
Según lo observado en la investigación, CACTUS implementa un conjunto superpuesto de tácticas, técnicas y procedimientos (TTP) para lograr comprometer a sus víctimas. Estos incluyen el uso de herramientas como Chisel, Rclone, TotalExec, tareas programadas y scripts personalizados para deshabilitar el software de seguridad y distribuir el binario del ransomware.
Acceso Inicial
Para conseguir el acceso inicial el ransomware CACTUS, usa vulnerabilidades conocidas de dispositivos VPN, aprovechando un archivo llamado ntuser[.]dat dentro de C:\ProgramData para pasar una clave AES que descifrará la clave pública RSA que permitirá descifrar el binario, que establecerá la backdoor por SSH para el C&C que utilizará para la ejecución persistente a través de tareas programadas.
Una vez dentro de la red, el actor de amenazas realiza una exploración interna inicial a través de SoftPerfect Network Scanner (netscan). Los comandos de PowerShell se ejecutan para enumerar puntos finales, ver eventos de seguridad de Windows 4624 para identificar cuentas de usuario y hacer ping a puntos finales remotos. La salida de estos comandos se guarda en archivos de texto en la máquina host. Los archivos de salida se utilizan posteriormente para la ejecución del binario de ransomware.
Para mantener la persistencia dentro del entorno, el actor de amenazas intenta crear una serie de métodos de acceso remoto a través de herramientas legítimas como Splashtop, AnyDesk y SuperOps RMM, junto con Cobalt Strike y el uso de Chisel, una herramienta de proxy SOCKS5. Chisel ayuda a canalizar el tráfico a través de los cortafuegos para proporcionar comunicaciones ocultas al C2 del actor de amenazas que podría permitir extraer secuencias de comandos y herramientas adicionales en el punto final.
Una vez que el autor de la amenaza ha establecido el nivel de acceso correcto, ejecuta un script por lotes que aprovecha msiexec para desinstalar el software antivirus común a través del GUID del software.
Posteriormente para el movimiento lateral, el actor de amenazas intenta volcar las credenciales de los navegadores web de los usuarios y buscar manualmente en el disco un archivo que contenga contraseñas. Además, también pueden intentar volcar las credenciales de LSASS para una escalada de privilegios posterior. Luego, se aprovecha un script por lotes adicional para agregar cuentas privilegiadas a puntos finales remotos.
Ejecución del cifrado
Para la ejecución del Ransomware , los actores de amenaza usan herramientas de exfiltración comunes, como Rclone, para extraer automáticamente archivos al almacenamiento en la nube y posteriormente ejecutar el un script ( f1[.]bat ) también observado en operaciones de ransomware de BLACKBASTA conocido como TotalExec[.]ps1 que usa PsExec para automatizar la implementación del cifrador.
El script es usado inicialmente para crear un nuevo administrador cuenta de usuario que luego agrega un segundo script llamado f2[.]bat como una ejecución automática a nivel de máquina antes de reiniciar el dispositivo. El f2[.]bat es un script por lotes que se usa para extraer el binario del cifrador de ransomware con 7zip antes de eliminar el archivo zip y ejecutar el binario con un indicador establecido que permite que se ejecute el binario. Luego, PsExec lo ejecuta de forma remota en la lista de dispositivos en el archivo ips[.]txt creado anteriormente.
Ilustración 1: Ejecución f2[.]bat de Ransomware Encryptor Binary
Nota de rescate
Una vez se ejecuta el cifrado de los archivos de la víctima, se ejecutan los modos de configuración que le permitirá al binario copiarse a sí mismo en la ruta C:\ProgramData\{Victim_ID}[.]exe, por ejemplo: C:\ProgramData\abc1-d2ef-gh3i-4jkl[.]exe.
Luego, el ransomware escribe un archivo de configuración codificado hexadecimal envuelto con datos basura en C:\ProgramData\ntuser[.]dat que contiene la ruta al exe original, una cadena base64 que se pasó con el argumento de línea de comando "-i" con cualquier resto argumentos de la línea de comandos. La cadena hexadecimal se ofusca aún más empujando la alineación de cada representación de byte de dos caracteres en un carácter para posteriormente ejecutar la tarea programada.
Posteriormente a ello se ejecuta el modo de decodificación utilizando el algoritmo AES y agregando el texto sin formato resultante en un objeto de clave pública RSA.
Ilustración 2: Ejecución descifrado AES de la clave RSA pública
Una vez ejecutado el cifrado de los archivos se agregan con la extensión "cts\d" y el último carácter es un dígito intercambiable. Luego se crea una nota de rescate llamada "cAcTuS[.]readme[.]txt" con detalles sobre cómo la víctima puede negociar a través del chat TOX.
Ilustración 3: Nota de rescate de CACTUS
Tácticas técnicas y procedimientos usadas
A continuación, se muestra el mapeo de Mitre ATT&CK de acuerdo a CACTUS ransomware.
El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:
https://www.kroll.com/en/insights/publicat... |
Tipo | Indicador |
---|---|
hash | 5b70972c72bf8af098350f8a53e... |
hash | ebce70ec427279c0717b899bdba... |
hash | b9ef2e948a9b49a6930fc190b22... |
ip | 163[.]123.142[.]213 |