Các nhà nghiên cứu an ninh mạng đã làm sáng tỏ một chủng ransomware mới có tên CACTUS đã được phát hiện tận dụng các lỗ hổng đã biết trong các thiết bị VPN để có được quyền truy cập ban đầu vào các mạng được nhắm mục tiêu.
“Khi ở trong mạng, các tác nhân CACTUS cố gắng liệt kê các tài khoản người dùng cục bộ và mạng bên cạnh các điểm cuối có thể truy cập trước khi tạo tài khoản người dùng mới và tận dụng các tập lệnh tùy chỉnh để tự động triển khai và kích hoạt bộ mã hóa ransomware thông qua các tác vụ theo lịch trình”, Kroll cho biết trong một báo cáo được chia sẻ với The Hacker News.
Mã độc tống tiền đã được quan sát thấy nhắm mục tiêu vào các tổ chức thương mại lớn kể từ tháng 3 năm 2023, với các cuộc tấn công sử dụng chiến thuật tống tiền kép để đánh cắp dữ liệu nhạy cảm trước khi mã hóa. Không có trang web rò rỉ dữ liệu đã được xác định cho đến nay.
Sau khi khai thác thành công các thiết bị VPN dễ bị tổn thương, một cửa hậu SSH được thiết lập để duy trì quyền truy cập liên tục và một loạt các lệnh PowerShell được thực thi để tiến hành quét mạng và xác định danh sách các máy để mã hóa.
Các cuộc tấn công CACTUS cũng sử dụng Cobalt Strike và một công cụ tạo đường hầm có tên là Chisel để ra lệnh và kiểm soát, cùng với phần mềm quản lý và giám sát từ xa (RMM) như AnyDesk để đẩy các tệp đến máy chủ bị nhiễm.
Cũng được thực hiện là các bước để vô hiệu hóa và gỡ cài đặt các giải pháp bảo mật cũng như trích xuất thông tin đăng nhập từ trình duyệt web và Dịch vụ hệ thống con của Cơ quan bảo mật cục bộ (LSASS) để tăng đặc quyền.
Việc leo thang đặc quyền được thực hiện thành công nhờ chuyển động ngang, lọc dữ liệu và triển khai phần mềm tống tiền, bước cuối cùng đạt được bằng tập lệnh PowerShell cũng đã được Black Basta sử dụng.
Một khía cạnh mới của CACTUS là việc sử dụng tập lệnh hàng loạt để trích xuất mã nhị phân ransomware bằng 7-Zip, sau đó xóa tệp lưu trữ .7z trước khi thực thi tải trọng.
Laurie Iacono, phó giám đốc quản lý rủi ro mạng tại Kroll, nói với The Hacker News: “CACTUS về cơ bản tự mã hóa, khiến nó khó bị phát hiện hơn và giúp nó trốn tránh các công cụ giám sát mạng và chống vi-rút”.
“Biến thể ransomware mới này có tên CACTUS tận dụng lỗ hổng trong thiết bị VPN phổ biến, cho thấy các tác nhân đe dọa tiếp tục nhắm mục tiêu vào các dịch vụ truy cập từ xa và các lỗ hổng chưa được vá để truy cập ban đầu.”
Sự phát triển diễn ra vài ngày sau khi Trend Micro làm sáng tỏ một loại ransomware khác được gọi là Rapture có một số điểm tương đồng với các họ khác như Paradise.
“Toàn bộ chuỗi lây nhiễm kéo dài tối đa từ ba đến năm ngày,” công ty cho biết, với quá trình trinh sát ban đầu, sau đó là triển khai Cobalt Strike, sau đó được sử dụng để loại bỏ phần mềm tống tiền dựa trên .NET.
Tìm hiểu cách ngăn chặn phần mềm tống tiền bằng tính năng Bảo vệ trong thời gian thực
Hãy tham gia hội thảo trên web của chúng tôi và tìm hiểu cách ngăn chặn các cuộc tấn công của mã độc tống tiền bằng MFA thời gian thực và bảo vệ tài khoản dịch vụ.
Giữ chỗ ngồi của tôi!
Sự xâm nhập bị nghi ngờ là được tạo điều kiện thông qua các trang web và máy chủ dễ bị tấn công, khiến các công ty bắt buộc phải thực hiện các bước để giữ cho hệ thống luôn cập nhật và thực thi nguyên tắc đặc quyền tối thiểu (PoLP).
Trend Micro cho biết: “Mặc dù những người điều hành nó sử dụng các công cụ và tài nguyên sẵn có, nhưng họ đã quản lý để sử dụng chúng theo cách nâng cao khả năng của Rapture bằng cách làm cho nó tàng hình hơn và khó phân tích hơn”.
CACTUS và Rapture là những bổ sung mới nhất cho một danh sách dài các họ ransomware mới được đưa ra ánh sáng trong những tuần gần đây, bao gồm gapromBlackBit, UNIZA, akiravà một biến thể ransomware NoCry có tên là Kadavro Vector.
