Pesquisadores de segurança cibernética revelaram uma nova cepa de ransomware chamada CACTUS, que foi encontrada utilizando falhas conhecidas em dispositivos de VPN para obter acesso inicial às redes-alvo.
"Uma vez dentro da rede, os atores do CACTUS tentam enumerar as contas de usuários locais e de rede, além dos pontos finais acessíveis, antes de criar novas contas de usuário e aproveitar scripts personalizados para automatizar o implante e a detonação do encriptador de ransomware por meio de tarefas agendadas", disse a Kroll em um relatório compartilhado com o The Hacker News.
O ransomware tem sido observado atacando grandes entidades comerciais desde março de 2023, com ataques empregando táticas de dupla extorsão para roubar dados sensíveis antes da criptografia.
Até o momento, nenhum site de vazamento de dados foi identificado.
Após a exploração bem-sucedida de dispositivos de VPN vulneráveis, é configurada uma porta dos fundos SSH para manter o acesso persistente e uma série de comandos do PowerShell é executada para realizar a varredura de rede e identificar uma lista de máquinas para criptografia.
Os ataques CACTUS também utilizam o Cobalt Strike e uma ferramenta de tunelamento chamada Chisel para comando e controle, juntamente com softwares de monitoramento e gerenciamento remoto (RMM), como o AnyDesk, para enviar arquivos para as máquinas infectadas.
Também são tomadas medidas para desabilitar e desinstalar soluções de segurança, bem como extrair credenciais de navegadores da web e do Subsistema de Segurança Local da Autoridade (LSASS) para escalar privilégios.
A escalada de privilégios é sucedida pelo movimento lateral, exfiltração de dados e implantação de ransomware, sendo que esta última é alcançada por meio de um script do PowerShell que também foi usado pelo Black Basta.
Um aspecto novo do CACTUS é o uso de um script em lote para extrair o binário do ransomware com o 7-Zip, seguido pela remoção do arquivo .7z antes da execução do payload.
"O CACTUS essencialmente se criptografa, tornando mais difícil de detectar e ajudando a evitar software antivírus e de monitoramento de rede", disse Laurie Iacono, diretora administrativa associada de risco cibernético na Kroll, ao The Hacker News.
"Essa nova variante de ransomware chamada CACTUS aproveita uma vulnerabilidade em um dispositivo popular de VPN, mostrando que os atores de ameaça continuam a mirar em serviços de acesso remoto e vulnerabilidades não corrigidas para obter acesso inicial".
O desenvolvimento vem dias depois de a Trend Micro revelar outro tipo de ransomware conhecido como Rapture, que tem algumas semelhanças com outras famílias, como Paradise.
"Toda a cadeia de infecção dura no máximo três a cinco dias", disse a empresa, com a reconhecimento inicial seguido pelo implante do Cobalt Strike, que é então usado para soltar o ransomware baseado em .NET.
A suspeita é que a invasão seja facilitada por meio de sites e servidores públicos vulneráveis, tornando imperativo que as empresas tomem medidas para manter os sistemas atualizados e imponham o princípio do menor privilégio (PoLP).
"Embora seus operadores usem ferramentas e recursos prontamente disponíveis, eles conseguiram usá-los de uma maneira que aumenta as capacidades do Rapture, tornando-o mais furtivo e difícil de analisar", disse a Trend Micro.
O CACTUS e o Rapture são as mais recentes adições a uma longa lista de novas famílias de ransomware que vieram à luz nas últimas semanas, incluindo Gazprom, BlackBit, UNIZA, Akira e uma variante de ransomware NoCry chamada Kadavro Vector.
Publicidade
O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...