Secondo il team di Cyber Threat Intelligence Kroll, gli operatori ransomware CACTUS starebbero prendendo di mira grandi organizzazioni commerciali con attacchi a doppia estorsione.
L’accesso iniziale nelle reti
Secondo l’analisi dei ricercatori in tutti gli incidenti valutati, gli attaccanti avrebbero ottenuto l’accesso iniziale alle reti sfruttando difetti già noti negli strumenti VPN. Successivamente per mantenere l’accesso persistente tramite attività pianificate imposterebbero una backdoor SSH per instaurare la comunicazione con il server C2 mentre per eseguire la scansione della rete ed enumerare gli endpoint da crittografare userebbero una serie di comandi PowerShell.
La peculiarità del ransomware
La peculiarità di questa operazione scoperta sarebbe quella di proteggere il binario ransomware crittografandolo. Il crittografo ransomware quindi richiederebbe una chiave per decrittografare il file binario ed eseguirlo, molto probabilmente per impedire il rilevamento antivirus. La chiave sarebbe fornita all’interno di un file caricato tramite un’attività pianificata.
Le tattiche tecniche e procedure (TTP)
Il gruppo CACTUS avrebbe inoltre implementato una serie di tattiche, tecniche e procedure (TTP) tra cui l’uso di strumenti come Rclone, TotalExec, attività pianificate e script personalizzati per disabilitare il software di sicurezza e distribuire il payload ransomware.
In particolare l’autore della minaccia tenta di:
- Mantenere la persistenza all’interno dell’ambiente, con una serie di strumenti per l’accesso remoto legittimi come Splashtop, AnyDesk e SuperOps RMM, insieme a Cobalt Strike e l’uso di uno strumento proxy SOCKS5 (Chisel).
- Ottenere credenziali sufficienti per l’esecuzione e il movimento laterale, tentando di scaricare le credenziali dai browser Web degli utenti e il dump delle credenziali LSASS per una successiva escalation dei privilegi. Una volta stabilito il livello di accesso viene eseguito uno script batch per disinstallare il software antivirus.
- Esfiltrare i dati e poi crittografare il filesystem.
Dopo la crittografia viene creata una nota di riscatto (“cAcTuS.readme.txt”) con i dettagli su come la vittima possa negoziare tramite la chat TOX. Al momento non sarebbe stato rilevato nessun sito dataleak afferente all’attore.
Raccomandazioni
I ricercatori Kroll infine per attenuare l’esposizione alla minaccia raccomandano di:
- Aggiornare i dispositivi VPN
- Implementare gestori di password
- Monitorare l’esecuzione di PowerShell
- Controllare account utente, amministratore e di servizio
- Implementare l’autenticazione a più fattori
- Esaminare le strategie di backup