fallas de VPN

Los investigadores de ciberseguridad han arrojado luz sobre una nueva cepa de ransomware llamada CACTUS que se ha descubierto que aprovecha las fallas conocidas en los dispositivos VPN para obtener acceso inicial a las redes específicas.

«Una vez dentro de la red, los actores de CACTUS intentan enumerar las cuentas de usuario locales y de red, además de los puntos finales alcanzables, antes de crear nuevas cuentas de usuario y aprovechar los scripts personalizados para automatizar el despliegue y la detonación del cifrado de ransomware a través de tareas programadas», dijo Kroll en un informe compartido con The Hacker News.

El ransomware se ha observado dirigido a grandes entidades comerciales desde marzo de 2023, con ataques que emplean tácticas de doble extorsión para robar datos confidenciales antes del cifrado. Hasta la fecha no se ha identificado ningún sitio de fuga de datos.

Después de una explotación exitosa de dispositivos VPN vulnerables, se configura una puerta trasera SSH para mantener el acceso persistente y se ejecutan una serie de comandos de PowerShell para realizar el escaneo de la red e identificar una lista de máquinas para el cifrado.

Los ataques CACTUS también utilizan Cobalt Strike y una herramienta de túnel conocida como Chisel para comando y control, junto con software de monitoreo y administración remota (RMM) como AnyDesk para enviar archivos a los hosts infectados.

También se han tomado medidas para deshabilitar y desinstalar soluciones de seguridad, así como para extraer credenciales de los navegadores web y el Servicio de subsistema de autoridad de seguridad local (LSASS) para escalar privilegios.

La escalada de privilegios se logra mediante el movimiento lateral, la exfiltración de datos y la implementación de ransomware, el último de los cuales se logra mediante un script de PowerShell que también ha sido utilizado por Black Basta.

Un aspecto novedoso de CACTUS es el uso de un script por lotes para extraer el binario ransomware con 7-Zip, seguido de la eliminación del archivo .7z antes de ejecutar la carga útil.

«CACTUS esencialmente se encripta a sí mismo, lo que dificulta su detección y lo ayuda a evadir las herramientas antivirus y de monitoreo de red», dijo Laurie Iacono, directora gerente asociada de riesgo cibernético en Kroll, a The Hacker News.

«Esta nueva variante de ransomware bajo el nombre CACTUS aprovecha una vulnerabilidad en un popular dispositivo VPN, mostrando que los actores de amenazas continúan apuntando a los servicios de acceso remoto y vulnerabilidades sin parches para el acceso inicial».

El desarrollo se produce días después de que Trend Micro arrojara luz sobre otro tipo de ransomware conocido como Rapture que tiene algunas similitudes con otras familias como Paradise.

«Toda la cadena de infección abarca de tres a cinco días como máximo», dijo la compañía, con el reconocimiento inicial seguido por el despliegue de Cobalt Strike, que luego se utiliza para soltar el . Ransomware basado en NET.

Se sospecha que la intrusión se facilita a través de sitios web y servidores vulnerables orientados al público, por lo que es imperativo que las empresas tomen medidas para mantener los sistemas actualizados y hacer cumplir el principio de privilegio mínimo (PoLP).

«Aunque sus operadores utilizan herramientas y recursos que están fácilmente disponibles, han logrado usarlos de una manera que mejora las capacidades de Rapture al hacerlo más sigiloso y más difícil de analizar», dijo Trend Micro.

CACTUS y Rapture son las últimas incorporaciones a una larga lista de nuevas familias de ransomware que han salido a la luz en las últimas semanas, incluidas Gazprom, BlackBit, UNIZA, Akira y una variante de ransomware NoCry llamada Kadavro Vector.

Fuente y redacción: underc0de.org

Compartir