Các chuyên gia an toàn thông tin đã phát hiện một biến thể ransomware mới có tên “CACTUS”. Biến thể này tận dụng các lỗ hổng đã biết trong các thiết bị VPN để có quyền truy cập vào các mạng mục tiêu.
“Khi ở trong networks, các tác nhân CACTUS liệt kê các tài khoản người dùng cục bộ và các mạng bên cạnh các điểm cuối có thể truy cập trước khi tạo tài khoản người dùng mới và tận dụng các tập lệnh tùy chỉnh để tự động triển khai, kích hoạt bộ mã hóa ransomware thông qua các tác vụ theo lịch trình”, Kroll cho biết trong một báo cáo được chia sẻ với The Hacker News.
Mã độc tống tiền được theo dõi nhắm mục tiêu vào các tổ chức thương mại lớn kể từ tháng 3 năm 2023, với các cuộc tấn công sử dụng chiến thuật tống tiền kép để đánh cắp dữ liệu nhạy cảm trước khi mã hóa. Đến nay, không có trang web nào bị rò rỉ dữ liệu.
Sau khi khai thác thành công các thiết bị VPN dễ bị tấn công, một backdoor SSH được thiết lập để duy trì truy cập liên tục và một loạt các lệnh PowerShell được thực thi để tiến hành quét mạng và xác định danh sách các máy để mã hóa.
Các cuộc tấn công CACTUS cũng sử dụng Cobalt Strike và một công cụ đường hầm được gọi là Chisel để ra lệnh và kiểm soát, cùng với phần mềm giám sát và quản lý từ xa (RMM) như AnyDesk để đẩy các tệp đến các máy chủ bị nhiễm. Cũng được thực hiện là các bước để vô hiệu hóa và gỡ cài đặt các giải pháp bảo mật cũng như trích xuất thông tin đăng nhập từ các trình duyệt web và Dịch vụ Local Security Authority Subsystem (LSASS) để leo thang đặc quyền.
Leo thang đặc quyền thành công bởi cách di chuyển bên, lọc dữ liệu và triển khai ransomware, lần cuối cùng đạt được bằng tập lệnh PowerShell cũng đã được Black Basta sử dụng.
Một khía cạnh mới của CACTUS là việc sử dụng một tập lệnh hàng loạt để trích xuất nhị phân ransomware với 7-Zip, tiếp theo là xóa kho lưu trữ .7z trước khi thực hiện tải trọng.
“CACTUS về cơ bản tự mã hóa, khiến việc phát hiện và giúp nó trốn tránh các công cụ giám sát mạng và chống vi-rút trở nên khó khăn hơn”, Laurie Iacono, phó giám đốc điều hành về rủi ro mạng tại Kroll chia sẻ với The Hacker News.
“Biến thể ransomware mới này có tên CACTUS tận dụng lỗ hổng trong một thiết bị VPN phổ biến, cho thấy các tác nhân đe dọa tiếp tục nhắm mục tiêu vào các dịch vụ truy cập từ xa và các lỗ hổng chưa được vá để truy cập ban đầu.”
Sự phát triển này diễn ra vài ngày sau khi Trend Micro phát hiện một loại ransomware khác được gọi là Rapture có một số điểm tương đồng với các biến thể khác như Paradise.
“Toàn bộ chuỗi lây nhiễm kéo dài tối đa từ ba đến năm ngày”, công ty cho biết, với việc trinh sát ban đầu sau đó là triển khai Cobalt Strike, sau đó được sử dụng để thả Cobalt Strike. Ransomware dựa trên NET.
Sự xâm nhập có thể tạo điều kiện thông qua các trang web và máy chủ công khai dễ bị tấn công, khiến các công ty bắt buộc phải thực hiện các bước để giữ cho hệ thống được cập nhật và thực thi nguyên tắc đặc quyền tối thiểu (PoLP).