Red Hot Cyber
Condividi la tua difesa. Incoraggia l'eccellenza. La vera forza della cybersecurity risiede nell'effetto moltiplicatore della conoscenza.
Un nuovo gruppo di criminali informatici chiamato Cactus sta attaccando grandi aziende con il ransomware. Si infiltra nelle reti delle vittime attraverso le vulnerabilità nelle apparecchiature VPN di Fortinet.
Il gruppo è attivo da marzo di quest’anno. Cactus ottiene l’accesso alle reti delle vittime sfruttando le vulnerabilità nei dispositivi VPN Fortinet, secondo Lori Yacono di Kroll, una società di consulenza e investigazione aziendale.
Ciò che rende Cactus diverso dalle altre operazioni è l’uso della crittografia per proteggere il file binario del ransomware. L’attaccante utilizza uno script batch per ottenere il file binario del ransomware utilizzando 7-Zip. L’archivio ZIP originale viene quindi eliminato e il file binario viene distribuito con un flag specifico che ne consente l’esecuzione. Gli esperti ritengono che ciò avvenga per impedire il rilevamento del ransomware.
 Christmas Sale -40% 𝗖𝗵𝗿𝗶𝘀𝘁𝗺𝗮𝘀 𝗦𝗮𝗹𝗲! Sconto del 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮 del Corso "Dark Web & Cyber Threat Intelligence" in modalità E-Learning sulla nostra Academy!🚀
Fino al 𝟯𝟭 𝗱𝗶 𝗗𝗶𝗰𝗲𝗺𝗯𝗿𝗲, prezzi pazzi alla Red Hot Cyber Academy. 𝗧𝘂𝘁𝘁𝗶 𝗶 𝗰𝗼𝗿𝘀𝗶 𝘀𝗰𝗼𝗻𝘁𝗮𝘁𝗶 𝗱𝗲𝗹 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮.
Per beneficiare della promo sconto Christmas Sale, scrivici ad [email protected] o contattaci su Whatsapp al numero di telefono: 379 163 8765.
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
“CACTUS essenzialmente crittografa se stesso, il che rende più difficile il rilevamento e lo aiuta a eludere antivirus e strumenti di rete”.
I ricercatori di Kroll hanno identificato tre modalità per l’avvio del file ransomware: installazione (-s), lettura e configurazione (-r) e crittografia (-i). Per avviare il processo di crittografia dei file, è necessario fornire una chiave AES univoca nota solo agli aggressori che utilizzano l’opzione -i. Questa chiave è necessaria per decrittografare il file di configurazione del codificatore e la chiave pubblica RSA necessaria per crittografare i file. È disponibile come stringa HEX crittografata nell’eseguibile del ransomware.
L’esecuzione del ransomware con la chiave corretta per il parametro “-i” consente al malware di iniziare a cercare file e avviare un processo di crittografia multi-thread.
Anche Michael Gillespie, un esperto di ransomware, ha analizzato il modo in cui Cactus crittografa i dati e ha riferito che il malware utilizza diverse estensioni per i file di destinazione, a seconda della fase di elaborazione. Ad esempio, quando Cactus sta solo preparando un determinato file per la crittografia, cambia la sua estensione in “.CTS0”. E già al termine della cifratura, l’estensione del file diventa “.CTS1”.
Osservando una specifica operazione dannosa implementata con successo da Cactus, i ricercatori hanno notato che dopo essersi infiltrati nella rete di destinazione, gli aggressori hanno utilizzato una backdoor SSH per fornire un accesso permanente al server C2.
Gli esperti di Kroll hanno anche notato che dopo aver ottenuto i privilegi necessari sul dispositivo, gli hacker hanno eseguito uno script speciale che ha rimosso i prodotti antivirus più comunemente utilizzati.
Come la maggior parte dei ransomware, Cactus ruba i dati dai computer delle vittime prima che vengano crittografati. Per fare ciò, il malware utilizza lo strumento Rclone per trasferire i file nell’archivio cloud.
Al momento, non ci sono informazioni pubbliche sull’entità del riscatto che Cactus richiede alle sue vittime. Inoltre, nonostante il fatto che la cybergang cerchi dati dai dispositivi di destinazione, apparentemente non dispongono di un data leak ste (DLS). Ma poiché gli aggressori minacciano le vittime di pubblicare i file rubati se non pagano, è probabile che gli hacker utilizzino i popolari forum darknet.
Poiché questi criminali informatici hanno utilizzato le vulnerabilità nei dispositivi VPN Fortinet per infiltrarsi nelle reti mirate, gli esperti raccomandano a tutti i clienti Fortinet di applicare immediatamente gli ultimi aggiornamenti di sicurezza del produttore per evitare di diventare una delle prossime vittime di Cactus.
Seguici su Google News, LinkedIn, Facebook e Instagram per ricevere aggiornamenti quotidiani sulla sicurezza informatica. Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.
