Un grupo de ciberdelincuentes lleva dos meses comprometiendo las redes corporativas para implementar un ransomware inédito llamado Cactus. En los ataques observados hasta ahora, los atacantes obtuvieron acceso explotando vulnerabilidades conocidas en los sistemas VPN antes de moverse lateralmente para implementar herramientas de administración y monitoreo remoto (RMM) para persistir con éxito en la red. El nombre de este ransomware se encuentra en la nota de rescate de los ciberdelincuentes (cAcTuS.readme.txt), pero también es un "nombre autodeclarado", explicaron los investigadores de Kroll Cyber ​​​​Threat Intelligence en un último informe aún no hecho público pero consultado por Bleeping Computer. “Los archivos cifrados van acompañados de la extensión .cts1”, aunque Kroll señala que el número al final de la extensión varía según los incidentes y las víctimas. El proveedor observó la exfiltración de datos confidenciales y la extorsión de las víctimas a través del servicio de mensajería peer-to-peer conocido como Tox, pero en el momento del análisis no se identificaron sitios conocidos de filtración de víctimas, especificaron estos investigadores de seguridad.

En todos los casos estudiados por Kroll, los atacantes lograron ingresar a un sistema VPN utilizando una cuenta de servicio, luego implementaron una puerta trasera SSH que se conectó a su servidor de comando y control (C2) y ejecutaron una tarea programada. Esta actividad fue seguida inmediatamente por un reconocimiento de red utilizando un escáner de red de Windows disponible en el mercado fabricado por la empresa australiana SoftPerfect. Se utilizaron scripts y comandos de PowerShell adicionales para enumerar las computadoras en la red y extraer cuentas de usuario del registro de eventos de seguridad de Windows. En algunos casos también se ha observado otro script de escaneo de red basado en PowerShell, llamado PSnmap.ps1. Luego, el grupo pudo deshacerse de las credenciales de LSASS y buscar archivos locales que pudieran contener contraseñas para identificar cuentas que podrían permitirles acceder a otros sistemas a través del Protocolo de escritorio remoto (RDP) y otros métodos. Para mantener la persistencia en los sistemas que han comprometido, los atacantes implementan herramientas RMM como Splashtop, AnyDesk y SuperOps, así como el implante Cobalt Strike o el proxy SOCKS5 Chisel. El uso indebido de herramientas RMM legítimas es una técnica común entre los actores de amenazas. "Chisel ayuda a canalizar el tráfico a través de firewalls para proporcionar comunicaciones encubiertas al C2 del actor de amenazas y probablemente se use para introducir scripts y herramientas adicionales en el punto final", dijeron los investigadores de Kroll. Uno de estos scripts utiliza la herramienta msiexec de Windows para intentar desinstalar programas antivirus comunes. En un caso, los atacantes incluso utilizaron la herramienta de desinstalación de Bitdefender.

ransomware cactus

El flujo de ejecución del ransomware Cactus. (crédito: Kroll)

Índice
  1. Datos filtrados a la nube
  2. Recomendaciones a seguir

Datos filtrados a la nube

Una vez que el grupo identifica los sistemas que contienen datos confidenciales, utiliza la herramienta Rclone para filtrar la información a cuentas de almacenamiento en la nube y se prepara para implementar el programa de ransomware. Para ello, utiliza un script llamado TotalExec.ps1 que también utilizaron los ciberdelincuentes detrás del ransomware BlackBasta. Primero, los atacantes implementan un script por lotes llamado f1.bat que crea una nueva cuenta de usuario administrador en el sistema y agrega un script secundario llamado f2.bat a la lista de ejecución automática del sistema. Este script extrae el binario del ransomware de un archivo 7zip y lo ejecuta. La herramienta PsExec también se utiliza para ejecutar el binario en sistemas remotos. Este último tiene tres modos de ejecución: instalación, configuración y cifrado.

En el modo de configuración, crea un archivo llamado C:\ProgramData\ntuser.dat que contiene datos de configuración cifrados para el ransomware. Luego crea una tarea programada que ejecuta el ransomware. Cuando se ejecuta con la opción de cifrado, el binario del ransomware extrae y descifra una clave pública RSA codificada. Luego comienza a generar claves AES para el cifrado de archivos y estas claves luego se cifran con la clave pública RSA. El proceso se basa en la implementación de sobre de la biblioteca OpenSSL, lo que significa que el archivo cifrado resultante también contendrá la clave AES cifrada que se utilizó para cifrar el archivo. Para recuperar la clave AES, el usuario necesita la clave RSA privada, que está en manos de los atacantes.

Recomendaciones a seguir

El informe de Kroll incluye análisis de tácticas, técnicas y procedimientos (TTP) según el marco MITRE ATT&CK, así como indicadores de compromiso. Los investigadores recomiendan mantener actualizados los sistemas de acceso público, como los dispositivos VPN, implementar administradores de contraseñas y autenticación de dos factores, monitorear los sistemas para la ejecución de PowerShell y registrar su uso, auditar las cuentas de administrador y de servicio, implementar principios de privilegios mínimos y revisar las copias de seguridad. estrategias para incluir al menos un respaldo aislado de la red corporativa.