Nuevo grupo de ransomware denominado Cactus ganaría acceso inicial al explotar una vulnerabilidad que presentan los dispositivos VPN y así ganar acceso a la red de las víctimas, moverse lateralmente a otros sistemas y desplegar herramientas remotas legitimas de monitoreo y gestión (RMM) y lograr así, persistencia en la red.
Si bien Cactus tienes las mismas funcionalidades que otros ransomware como el robo de información y cifrado de archivos, este utiliza un método distinto para lograr evitar su detección. Cactus utiliza cifrado para así resguardar sus binarios.
El atacante utiliza una secuencia de comandos por lotes (batch script) para así obtener el binario de cifrado haciendo uso de 7-Zip. El proceso de evadir la detección es llevado a cabo adquiriendo el binario cifrador para luego ser activado por un indicador de ejecución y remover el archivo ZIP original.
La utilización de tres argumentos permitiría la persistencia del ataque y guardar información en el archivo C:ProgramDatantuser.dat, siendo estos -s y -r (setup y read configuration, respectivamente) de la línea de comandos, para finalmente acceder al archivo a través del argumento -r. Posteriormente, a través de la utilización del argumento -i (Encryption) se proporciona la llave AES, la cual resulta de gran importancia para descifrar el archivo de configuración del ransomware y la llave publica RSA requerida para cifrar los archivos. Que se encuentra disponible como cadena HEX codificada en el binario del encriptador.
Decodificar la cadena HEX provee una pieza de información encriptada la cual se desbloquea con la llave AES. Esto significaría que esencialmente Cactus se cifra a si mismo lo que dificulta su detección mientras que a su vez, ayuda a la evasión de antivirus y herramientas de monitoreo de la red.
Cactus utiliza distintas extensiones a lo largo del proceso de cifrado, primeramente, vemos la extensión CTS0, sin embargo, luego del cifrado este cambia a CTS1. la velocidad de movimiento de Cactus le permite cifrar los archivos dos veces, añadiendo una nueva extensión cada momento (.CTS1.CTS7).
Los atacantes mantienen la persistencia del malware mediante tareas programadas a través de un backdoor de SSH que conecta con su servidor de comando y control (C2). Seguidamente se realiza un reconocimiento de red a través de netscan. Cactus también hace uso de comandos de PowerShell para enumerar endpoints, localizar cuentas de usuario a través de registros exitosos de Windows Event Viewer. Aunque también se tiene registro de otra herramienta de escaneo de red denominada PSnmap.ps1.
Una vez el grupo ha identificado los sistemas importantes, es decir, aquellos que contengan información sensible, filtra la información para almacenarla en la nube mediante Rclone para, seguidamente, desplegar el ransomware mediante el script TotalExec.ps1.
Primeramente, los atacantes despliegan un batch script denominado f1.bat el cual crea una cuenta de administrador en el sistema que a su vez agrega un script secundario denominado f2.bat a la lista de ejecución automática del sistema. Este último script es el encargado de extraer el binario del ransomware desde el archivo 7-Zip para posteriormente ejecutarlo con una serie de indicaciones.
Una vez ejecutado con el indicador de cifrado, el binario del ransomware extraerá y descifrará una llave pública RSA codificada, lo que comenzara a generar llaves AES para el cifrado de los archivos, a su vez estas llaves son cifradas con la llave pública RSA, este proceso toma ventaja de la Envelope de la biblioteca OpenSSL. Esto se traduce a un archivo cifrado que también contendrá la clave AES cifrada que se utilizó para cifrar el archivo.
Recomendaciones
- Mantener actualizados los sistemas de cara al público, como los dispositivos VPN.
- La implementación de gestores de contraseñas y autenticación multi-factor.
- La supervisión de los sistemas para detectar la ejecución de PowerShell y llevar un registro del uso de esta.
- Auditar las cuentas de administrador y de servicio, aplicar los principios de mínimos privilegios.
