Red Hot Cyber
Condividi la tua difesa. Incoraggia l'eccellenza. La vera forza della cybersecurity risiede nell'effetto moltiplicatore della conoscenza.
Redazione RHC : 8 Maggio 2023 17:03
Un nuovo gruppo di criminali informatici chiamato Cactus sta attaccando grandi aziende con il ransomware. Si infiltra nelle reti delle vittime attraverso le vulnerabilità nelle apparecchiature VPN di Fortinet.
Il gruppo è attivo da marzo di quest’anno. Cactus ottiene l’accesso alle reti delle vittime sfruttando le vulnerabilità nei dispositivi VPN Fortinet, secondo Lori Yacono di Kroll, una società di consulenza e investigazione aziendale.
Ciò che rende Cactus diverso dalle altre operazioni è l’uso della crittografia per proteggere il file binario del ransomware. L’attaccante utilizza uno script batch per ottenere il file binario del ransomware utilizzando 7-Zip. L’archivio ZIP originale viene quindi eliminato e il file binario viene distribuito con un flag specifico che ne consente l’esecuzione. Gli esperti ritengono che ciò avvenga per impedire il rilevamento del ransomware.
 CVE Enrichment Mentre la finestra tra divulgazione pubblica di una vulnerabilità e sfruttamento si riduce sempre di più, Red Hot Cyber ha lanciato un servizio pensato per supportare professionisti IT, analisti della sicurezza, aziende e pentester: un sistema di monitoraggio gratuito che mostra le vulnerabilità critiche pubblicate negli ultimi 3 giorni dal database NVD degli Stati Uniti e l'accesso ai loro exploit su GitHub.
Cosa trovi nel servizio: ✅ Visualizzazione immediata delle CVE con filtri per gravità e vendor. ✅ Pagine dedicate per ogni CVE con arricchimento dati (NIST, EPSS, percentile di rischio, stato di sfruttamento CISA KEV). ✅ Link ad articoli di approfondimento ed exploit correlati su GitHub, per ottenere un quadro completo della minaccia. ✅ Funzione di ricerca: inserisci un codice CVE e accedi subito a insight completi e contestualizzati.
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
“CACTUS essenzialmente crittografa se stesso, il che rende più difficile il rilevamento e lo aiuta a eludere antivirus e strumenti di rete”.
I ricercatori di Kroll hanno identificato tre modalità per l’avvio del file ransomware: installazione (-s), lettura e configurazione (-r) e crittografia (-i). Per avviare il processo di crittografia dei file, è necessario fornire una chiave AES univoca nota solo agli aggressori che utilizzano l’opzione -i. Questa chiave è necessaria per decrittografare il file di configurazione del codificatore e la chiave pubblica RSA necessaria per crittografare i file. È disponibile come stringa HEX crittografata nell’eseguibile del ransomware.
L’esecuzione del ransomware con la chiave corretta per il parametro “-i” consente al malware di iniziare a cercare file e avviare un processo di crittografia multi-thread.
Anche Michael Gillespie, un esperto di ransomware, ha analizzato il modo in cui Cactus crittografa i dati e ha riferito che il malware utilizza diverse estensioni per i file di destinazione, a seconda della fase di elaborazione. Ad esempio, quando Cactus sta solo preparando un determinato file per la crittografia, cambia la sua estensione in “.CTS0”. E già al termine della cifratura, l’estensione del file diventa “.CTS1”.
Osservando una specifica operazione dannosa implementata con successo da Cactus, i ricercatori hanno notato che dopo essersi infiltrati nella rete di destinazione, gli aggressori hanno utilizzato una backdoor SSH per fornire un accesso permanente al server C2.
Gli esperti di Kroll hanno anche notato che dopo aver ottenuto i privilegi necessari sul dispositivo, gli hacker hanno eseguito uno script speciale che ha rimosso i prodotti antivirus più comunemente utilizzati.
Come la maggior parte dei ransomware, Cactus ruba i dati dai computer delle vittime prima che vengano crittografati. Per fare ciò, il malware utilizza lo strumento Rclone per trasferire i file nell’archivio cloud.
Al momento, non ci sono informazioni pubbliche sull’entità del riscatto che Cactus richiede alle sue vittime. Inoltre, nonostante il fatto che la cybergang cerchi dati dai dispositivi di destinazione, apparentemente non dispongono di un data leak ste (DLS). Ma poiché gli aggressori minacciano le vittime di pubblicare i file rubati se non pagano, è probabile che gli hacker utilizzino i popolari forum darknet.
Poiché questi criminali informatici hanno utilizzato le vulnerabilità nei dispositivi VPN Fortinet per infiltrarsi nelle reti mirate, gli esperti raccomandano a tutti i clienti Fortinet di applicare immediatamente gli ultimi aggiornamenti di sicurezza del produttore per evitare di diventare una delle prossime vittime di Cactus.
RedazioneL’azienda italiana di difesa Leonardo ha presentato il suo nuovo sistema Michelangelo Dome. Secondo l’azienda, è progettato per contrastare missili ipersonici e attacchi di massa con droni. Duran...
Secondo l’esperto di informatica forense Elom Daniel, i messaggi di WhatsApp possono contenere dati di geolocalizzazione nascosti anche quando l’utente non ha intenzionalmente condiviso la propria...
L’ecosistema npm è nuovamente al centro di un vasto attacco alla supply chain attribuito alla campagna Shai-Hulud. Questa ondata ha portato alla diffusione di centinaia di pacchetti apparentemente ...
Il team di GrapheneOS annuncia la chiusura completa della sua infrastruttura in Francia. Gli sviluppatori stanno accelerando il passaggio dal provider di hosting OVH e accusano dalle autorità frances...
Il Roskomnadzor della Federazione Russa ha annunciato che continua a imporre restrizioni sistematiche all’app di messaggistica WhatsApp a causa di violazioni della legge russa. Secondo l’agenzia, ...
