[10/05/2023] Un grupo de ciberdelincuentes ha estado comprometiendo redes empresariales durante los dos últimos meses, y ha estado desplegando un nuevo programa ransomware que los investigadores han bautizado como CACTUS. En los ataques vistos hasta ahora, los atacantes obtenían acceso explotando vulnerabilidades conocidas en dispositivos VPN, se desplazaban lateralmente a otros sistemas y desplegaban herramientas legítimas de monitorización y gestión remota (RMM) para lograr persistir en la red.
[Reciba lo último de CIO Perú suscribiéndose a nuestro newsletter semanal]
"El nombre 'CACTUS' se deriva del nombre de archivo proporcionado en la nota de rescate, cAcTuS.readme.txt, y del nombre autodeclarado en la propia nota de rescate", afirman los investigadores de Kroll Cyber Threat Intelligence en un nuevo informe. "Los archivos cifrados llevan como apéndice .cts1, aunque Kroll señala que se ha observado que el número al final de la extensión varía según los incidentes y las víctimas. Kroll ha observado la exfiltración de datos sensibles y la extorsión de víctimas a través del servicio de mensajería peer-to-peer conocido como Tox, pero no se identificó un sitio conocido de filtración de víctimas en el momento del análisis".
Intrusión inicial y movimiento lateral de CACTUS
En todos los casos investigados por Kroll, los atacantes consiguieron su punto de apoyo inicial en un dispositivo VPN utilizando una cuenta de servicio y, a continuación, desplegaron una puerta trasera SSH que se conectaba de nuevo a su servidor de mando y control (C2) y se ejecutaba a través de una tarea programada.
A esta actividad le siguió inmediatamente el reconocimiento de la red mediante un escáner de red comercial para Windows fabricado por una empresa australiana llamada SoftPerfect. Se utilizaron comandos y scripts PowerShell adicionales para enumerar las computadoras de la red y extraer cuentas de usuario del registro de eventos de seguridad de Windows. También se ha observado en algunos casos otro script de exploración de la red basado en PowerShell llamado PSnmap.ps1.
A continuación, el grupo vuelca las credenciales LSASS y busca archivos locales que puedan contener contraseñas para identificar cuentas que podrían permitirles saltar a otros sistemas a través del protocolo de escritorio remoto (RDP) y otros métodos. Para mantener la persistencia en los sistemas comprometidos, los atacantes despliegan herramientas RMM como Splashtop, AnyDesk y SuperOps, así como el implante Cobalt Strike o el proxy SOCKS5 Chisel. El abuso de herramientas RMM legítimas es una técnica común entre los actores de amenazas.
"Chisel ayuda a tunelizar el tráfico a través de firewalls para proporcionar comunicaciones ocultas al C2 del actor de la amenaza, y es probable que se utilice para introducir scripts y herramientas adicionales en el endpoint", afirman los investigadores de Kroll. Uno de estos scripts utiliza la herramienta msiexec de Windows para intentar desinstalar programas antivirus comunes. En un caso, los atacantes incluso utilizaron la herramienta de desinstalación de Bitdefender.
Despliegue del ransomware CACTUS
Una vez que el grupo ha identificado los sistemas con datos confidenciales, utiliza la herramienta Rclone para exfiltrar la información a cuentas de almacenamiento en la nube y se prepara para desplegar el programa ransomware. Para ello utiliza un script llamado TotalExec.ps1 que también ha sido utilizado por los ciberdelincuentes detrás del ransomware BlackBasta.
En primer lugar, los atacantes despliegan un script por lotes llamado f1.bat que crea una nueva cuenta de usuario administrador en el sistema y añade un script secundario llamado f2.bat a la lista de ejecución automática del sistema. Este script extrae el binario del ransomware de un archivo 7zip y lo ejecuta con una serie de indicadores. La herramienta PsExec también se utiliza para ejecutar el binario en sistemas remotos.
El binario del ransomware tiene tres modos de ejecución basados en los indicadores que se le pasan: configuración, configuración y cifrado. En el modo de configuración creará un archivo llamado C:\ProgramData\ntuser.dat que contiene datos de configuración cifrados para el ransomware. A continuación, crea una tarea programada que ejecuta el ransomware.
Cuando se ejecuta con el indicador de cifrado, el binario del ransomware extrae y descifra una clave pública RSA codificada. A continuación, comienza a generar claves AES para el cifrado de archivos, y esas claves se cifran con la clave pública RSA. El proceso aprovecha la implementación Envelope de la biblioteca OpenSSL, lo que significa que el archivo cifrado resultante también contendrá la clave AES cifrada que se utilizó para cifrar el archivo. Para recuperar la clave AES, el usuario necesita la clave privada RSA, que está en manos de los atacantes.
El informe de Kroll incluye un desglose de tácticas, técnicas y procedimientos (TTP) según el marco ATT&CK de MITRE, junto con indicadores de compromiso. Los investigadores recomiendan mantener actualizados los sistemas de cara al público, como los dispositivos VPN, implantar gestores de contraseñas y autenticación de dos factores, supervisar los sistemas para detectar la ejecución de PowerShell y registrar su uso, auditar las cuentas de administrador y de servicio, aplicar los principios de mínimos privilegios y revisar las estrategias de copia de seguridad para incluir al menos una copia de seguridad aislada de la red de la empresa.
Basado en el artículo de Lucian Constantin (CSO) y editado por CIO Perú