I criminali informatici di Cactus Ransomware prendono di mira le VPN di Fortinet

Redazione RHC : 8 Maggio 2023 17:03

Un nuovo gruppo di criminali informatici chiamato Cactus sta attaccando grandi aziende con il ransomware. Si infiltra nelle reti delle vittime attraverso le vulnerabilità nelle apparecchiature VPN di Fortinet.

Il gruppo è attivo da marzo di quest’anno. Cactus ottiene l’accesso alle reti delle vittime sfruttando le vulnerabilità nei dispositivi VPN Fortinet, secondo Lori Yacono di Kroll, una società di consulenza e investigazione aziendale.

Ciò che rende Cactus diverso dalle altre operazioni è l’uso della crittografia per proteggere il file binario del ransomware. L’attaccante utilizza uno script batch per ottenere il file binario del ransomware utilizzando 7-Zip. L’archivio ZIP originale viene quindi eliminato e il file binario viene distribuito con un flag specifico che ne consente l’esecuzione. Gli esperti ritengono che ciò avvenga per impedire il rilevamento del ransomware.

“CACTUS essenzialmente crittografa se stesso, il che rende più difficile il rilevamento e lo aiuta a eludere antivirus e strumenti di rete”.

I ricercatori di Kroll hanno identificato tre modalità per l’avvio del file ransomware: installazione (-s), lettura e configurazione (-r) e crittografia (-i). Per avviare il processo di crittografia dei file, è necessario fornire una chiave AES univoca nota solo agli aggressori che utilizzano l’opzione -i. Questa chiave è necessaria per decrittografare il file di configurazione del codificatore e la chiave pubblica RSA necessaria per crittografare i file. È disponibile come stringa HEX crittografata nell’eseguibile del ransomware.

L’esecuzione del ransomware con la chiave corretta per il parametro “-i” consente al malware di iniziare a cercare file e avviare un processo di crittografia multi-thread.

Anche Michael Gillespie, un esperto di ransomware, ha analizzato il modo in cui Cactus crittografa i dati e ha riferito che il malware utilizza diverse estensioni per i file di destinazione, a seconda della fase di elaborazione. Ad esempio, quando Cactus sta solo preparando un determinato file per la crittografia, cambia la sua estensione in “.CTS0”. E già al termine della cifratura, l’estensione del file diventa “.CTS1”.

Osservando una specifica operazione dannosa implementata con successo da Cactus, i ricercatori hanno notato che dopo essersi infiltrati nella rete di destinazione, gli aggressori hanno utilizzato una backdoor SSH per fornire un accesso permanente al server C2.

Gli esperti di Kroll hanno anche notato che dopo aver ottenuto i privilegi necessari sul dispositivo, gli hacker hanno eseguito uno script speciale che ha rimosso i prodotti antivirus più comunemente utilizzati.

Come la maggior parte dei ransomware, Cactus ruba i dati dai computer delle vittime prima che vengano crittografati. Per fare ciò, il malware utilizza lo strumento Rclone per trasferire i file nell’archivio cloud.

Al momento, non ci sono informazioni pubbliche sull’entità del riscatto che Cactus richiede alle sue vittime. Inoltre, nonostante il fatto che la cybergang cerchi dati dai dispositivi di destinazione, apparentemente non dispongono di un data leak ste (DLS). Ma poiché gli aggressori minacciano le vittime di pubblicare i file rubati se non pagano, è probabile che gli hacker utilizzino i popolari forum darknet.

Poiché questi criminali informatici hanno utilizzato le vulnerabilità nei dispositivi VPN Fortinet per infiltrarsi nelle reti mirate, gli esperti raccomandano a tutti i clienti Fortinet di applicare immediatamente gli ultimi aggiornamenti di sicurezza del produttore per evitare di diventare una delle prossime vittime di Cactus.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.