Los investigadores de seguridad de Kroll han publicado información sobre el ransomware CACTUS que se descubrió que aprovecha fallas conocidas en los dispositivos VPN para obtener acceso inicial a las redes objetivo.
«Una vez dentro de la red, los actores de CACTUS intentan enumerar las cuentas de usuario locales y de la red, además de los puntos finales alcanzables antes de crear nuevas cuentas de usuario y aprovechar los scripts personalizados para automatizar la implementación y detonación del cifrador de ransomware a través de tareas programadas», dice Kroll en un informe.
Se ha observado que el ransomware se dirige a grandes entidades comerciales desde marzo de 2023, con ataques que emplean tácticas de doble extorsión para robar datos confidenciales antes del cifrado. No se ha identificado ningún sitio de fuga de datos hasta la fecha.
Luego de una explotación exitosa de dispositivos VPN vulnerables, se configura una puerta trasera SSH para mantener el acceso persistente y se ejecuta una serie de comandos de PowerShell para realizar un escaneo de la red e identificar una lista de máquinas para el cifrado.
Los ataques de CACTUS también utilizan Cobalt Strike y una herramienta de tunelización conocida como Chisel para comando y control, junto con software de administración y monitoreo remoto (RMM) como AnyDesk para enviar archivos a los hosts infectados.
También se toman medidas para deshabilitar y desinstalar soluciones de seguridad, así como para extraer credenciales de navegadores web y el Servicio de subsistema de autoridad de seguridad local (LSASS) para escalar privilegios.
Al escalamiento de privilegios le sigue el movimiento lateral, la exfiltración de datos y la implementación de ransomware, la última de las cuales se logra mediante un script de PowerShell que también ha utilizado Black Basta.
Un aspecto novedoso de CACTUS es el uso de un script por lotes para extraer el binario del ransomware con 7-Zip, seguido de la eliminación del archivo .7z antes de ejecutar la carga útil.
«CACTUS esencialmente se cifra a sí mismo, lo que lo hace más difícil de detectar y lo ayuda a evadir las herramientas antivirus y de monitoreo de red», dijo Laurie Iacono, directora general asociada de riesgo cibernético en Kroll.
«Esta nueva variante de ransomware bajo el nombre de CACTUS aprovecha una vulnerabilidad en un popular dispositivo VPN, mostrando que los actores de amenazas continúan apuntando a los servicios de acceso remoto y vulnerabilidades sin parches para el acceso inicial».
El desarrollo se produce días después de que Trend Micro arrojara luz sobre otro tipo de ransomware conocido como Rapture que tiene algunas similitudes con otras familias como Paradise. «Toda la cadena de infección dura de tres a cinco días como máximo», dijo la compañía, con el reconocimiento inicial seguido por el despliegue de Cobalt Strike, que luego se usa para eliminar el ransomware basado en .NET.
Se sospecha que la intrusión se facilita a través de sitios web y servidores públicos vulnerables, por lo que es imperativo que las empresas tomen medidas para mantener los sistemas actualizados y hacer cumplir el Principio de Privilegio Mínimo (PoLP).
«Aunque sus operadores usan herramientas y recursos que están fácilmente disponibles, han logrado usarlos de una manera que mejora las capacidades de Rapture haciéndolo más sigiloso y más difícil de analizar», dijo Trend Micro.
CACTUS y Rapture son las últimas incorporaciones a una larga lista de nuevas familias de ransomware que han salido a la luz en las últimas semanas, incluidas Gazprom, BlackBit, UNIZA, Akira, y una variante de ransomware NoCry llamada Kadavro Vector.
Fuente y redacción: segu-info.com.ar
