Redazione RHC : 8 Maggio 2023 17:03
Un nuovo gruppo di criminali informatici chiamato Cactus sta attaccando grandi aziende con il ransomware. Si infiltra nelle reti delle vittime attraverso le vulnerabilità nelle apparecchiature VPN di Fortinet.
Il gruppo è attivo da marzo di quest’anno. Cactus ottiene l’accesso alle reti delle vittime sfruttando le vulnerabilità nei dispositivi VPN Fortinet, secondo Lori Yacono di Kroll, una società di consulenza e investigazione aziendale.
Ciò che rende Cactus diverso dalle altre operazioni è l’uso della crittografia per proteggere il file binario del ransomware. L’attaccante utilizza uno script batch per ottenere il file binario del ransomware utilizzando 7-Zip. L’archivio ZIP originale viene quindi eliminato e il file binario viene distribuito con un flag specifico che ne consente l’esecuzione. Gli esperti ritengono che ciò avvenga per impedire il rilevamento del ransomware.
Vuoi diventare un esperto del Dark Web e della Cyber Threat Intelligence (CTI)?
Stiamo per avviare il corso intermedio in modalità "Live Class", previsto per febbraio.
A differenza dei corsi in e-learning, disponibili online sulla nostra piattaforma con lezioni pre-registrate, i corsi in Live Class offrono un’esperienza formativa interattiva e coinvolgente.
Condotti dal professor Pietro Melillo, le lezioni si svolgono online in tempo reale, permettendo ai partecipanti di interagire direttamente con il docente e approfondire i contenuti in modo personalizzato.
Questi corsi, ideali per aziende, consentono di sviluppare competenze mirate, affrontare casi pratici e personalizzare il percorso formativo in base alle esigenze specifiche del team, garantendo un apprendimento efficace e immediatamente applicabile.
Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]
“CACTUS essenzialmente crittografa se stesso, il che rende più difficile il rilevamento e lo aiuta a eludere antivirus e strumenti di rete”.
I ricercatori di Kroll hanno identificato tre modalità per l’avvio del file ransomware: installazione (-s), lettura e configurazione (-r) e crittografia (-i). Per avviare il processo di crittografia dei file, è necessario fornire una chiave AES univoca nota solo agli aggressori che utilizzano l’opzione -i. Questa chiave è necessaria per decrittografare il file di configurazione del codificatore e la chiave pubblica RSA necessaria per crittografare i file. È disponibile come stringa HEX crittografata nell’eseguibile del ransomware.
L’esecuzione del ransomware con la chiave corretta per il parametro “-i” consente al malware di iniziare a cercare file e avviare un processo di crittografia multi-thread.
Anche Michael Gillespie, un esperto di ransomware, ha analizzato il modo in cui Cactus crittografa i dati e ha riferito che il malware utilizza diverse estensioni per i file di destinazione, a seconda della fase di elaborazione. Ad esempio, quando Cactus sta solo preparando un determinato file per la crittografia, cambia la sua estensione in “.CTS0”. E già al termine della cifratura, l’estensione del file diventa “.CTS1”.
Osservando una specifica operazione dannosa implementata con successo da Cactus, i ricercatori hanno notato che dopo essersi infiltrati nella rete di destinazione, gli aggressori hanno utilizzato una backdoor SSH per fornire un accesso permanente al server C2.
Gli esperti di Kroll hanno anche notato che dopo aver ottenuto i privilegi necessari sul dispositivo, gli hacker hanno eseguito uno script speciale che ha rimosso i prodotti antivirus più comunemente utilizzati.
Come la maggior parte dei ransomware, Cactus ruba i dati dai computer delle vittime prima che vengano crittografati. Per fare ciò, il malware utilizza lo strumento Rclone per trasferire i file nell’archivio cloud.
Al momento, non ci sono informazioni pubbliche sull’entità del riscatto che Cactus richiede alle sue vittime. Inoltre, nonostante il fatto che la cybergang cerchi dati dai dispositivi di destinazione, apparentemente non dispongono di un data leak ste (DLS). Ma poiché gli aggressori minacciano le vittime di pubblicare i file rubati se non pagano, è probabile che gli hacker utilizzino i popolari forum darknet.
Poiché questi criminali informatici hanno utilizzato le vulnerabilità nei dispositivi VPN Fortinet per infiltrarsi nelle reti mirate, gli esperti raccomandano a tutti i clienti Fortinet di applicare immediatamente gli ultimi aggiornamenti di sicurezza del produttore per evitare di diventare una delle prossime vittime di Cactus.
RedazioneTrend Micro ha rilevato un attacco mirato ai settori governativo e aeronautico in Medio Oriente, utilizzando un nuovo ransomware chiamato Charon. Gli aggressori hanno utilizzato una complessa catena d...
Diversi prodotti di sicurezza Fortinet, tra cui FortiOS, FortiProxy e FortiPAM, sono interessati da una vulnerabilità di evasione dell’autenticazione di alta gravità. La falla, monito...
Agosto Patch Tuesday: Microsoft rilascia aggiornamenti sicurezza che fixano 107 vulnerabilità nei prodotti del suo ecosistema. L’aggiornamento include correzioni per 90 vulnerabilità,...
29.000 server Exchange sono vulnerabili al CVE-2025-53786, che consente agli aggressori di muoversi all’interno degli ambienti cloud Microsoft, portando potenzialmente alla compromissione compl...
Come era prevedibile, il famigerato bug scoperto su WinRar, viene ora sfruttato attivamente dai malintenzionati su larga scala, vista la diffusione e la popolarità del software. Gli esperti di ES...
