Siber güvenlik araştırmacıları, hedeflenen ağlara ilk erişimi elde etmek için VPN cihazlarındaki bilinen kusurlardan yararlandığı tespit edilen CACTUS adlı yeni bir fidye yazılımı türüne ışık tuttu.
Kroll bir raporda, “Ağa girdikten sonra, CACTUS aktörleri, yeni kullanıcı hesapları oluşturmadan ve fidye yazılımı şifreleyicisinin dağıtımını ve patlamasını otomatikleştirmek için özel komut dizilerinden yararlanmadan önce erişilebilir uç noktalara ek olarak yerel ve ağ kullanıcı hesaplarını numaralandırmaya çalışır.” The Hacker News ile paylaştı.
Fidye yazılımının Mart 2023’ten bu yana, şifrelemeden önce hassas verileri çalmak için çifte gasp taktikleri kullanan saldırılarla büyük ticari varlıkları hedef aldığı gözlemlendi. Bugüne kadar hiçbir veri sızıntısı yeri tespit edilmedi.
Savunmasız VPN cihazlarının başarılı bir şekilde kullanılmasının ardından, kalıcı erişimi sürdürmek için bir SSH arka kapısı kurulur ve ağ taraması yapmak ve şifreleme için bir makine listesi belirlemek üzere bir dizi PowerShell komutu yürütülür.
CACTUS saldırıları da kullanır kobalt saldırısı ve bir tünel açma aracı olarak adlandırılan keski komut ve kontrol için, AnyDesk gibi uzaktan izleme ve yönetim (RMM) yazılımının yanı sıra, dosyaları virüslü ana bilgisayarlara göndermek için.
Ayrıca, güvenlik çözümlerini devre dışı bırakmak ve kaldırmak ve ayrıca web tarayıcılarından ve Yerel Güvenlik Yetkilisi Alt Sistem Hizmetinden kimlik bilgilerini çıkarmak için adımlar atılır (LSASS) artan ayrıcalıklar için.
Ayrıcalık artışı, yanal hareket, veri hırsızlığı ve fidye yazılımı konuşlandırması ile başarılır ve sonuncusu bir PowerShell betiği tarafından da kullanılmış olan Siyah Basta.
CACTUS’un yeni bir yönü, fidye yazılımı ikili dosyasını 7-Zip ile ayıklamak için bir toplu komut dosyasının kullanılması ve ardından yükü çalıştırmadan önce .7z arşivinin kaldırılmasıdır.
Kroll’da Siber Riskten Sorumlu Genel Müdür Yardımcısı Laurie Iacono, The Hacker News’e “CACTUS esasen kendi kendini şifreleyerek, tespit edilmesini zorlaştırıyor ve antivirüs ve ağ izleme araçlarından kurtulmasına yardımcı oluyor” dedi.
“CACTUS adı altındaki bu yeni fidye yazılımı varyantı, popüler bir VPN cihazındaki bir güvenlik açığından yararlanarak, tehdit aktörlerinin ilk erişim için uzaktan erişim hizmetlerini ve yama uygulanmamış güvenlik açıklarını hedeflemeye devam ettiğini gösteriyor.”
Gelişme, Trend Micro’nun Rapture olarak bilinen ve diğer ailelerle bazı benzerlikler taşıyan başka bir fidye yazılımı türüne ışık tutmasından günler sonra geldi. Cennet.
Şirket, “Enfeksiyon zincirinin tamamı en fazla üç ila beş günü kapsıyor” dedi. söz konusuilk keşif ve ardından .NET tabanlı fidye yazılımını bırakmak için kullanılan Cobalt Strike’ın konuşlandırılmasıyla.
Gerçek Zamanlı Koruma ile Fidye Yazılımını Durdurmayı Öğrenin
Web seminerimize katılın ve gerçek zamanlı MFA ve hizmet hesabı koruması ile fidye yazılımı saldırılarını nasıl durduracağınızı öğrenin.
Saldırının halka açık web siteleri ve sunucular aracılığıyla kolaylaştırıldığından şüpheleniliyor, bu da şirketlerin sistemleri güncel tutmak ve en az ayrıcalık ilkesini uygulamak için adımlar atmasını zorunlu kılıyor (PoLP).
Trend Micro, “Operatörleri hazır bulunan araçları ve kaynakları kullansa da, Rapture’ı daha gizli ve analiz edilmesini daha zor hale getirerek yeteneklerini geliştirecek şekilde kullanmayı başardılar” dedi.
CACTUS ve Rapture, son haftalarda gün ışığına çıkan uzun bir yeni fidye yazılımı aileleri listesine en son eklenenlerdir. gazprom, Kara Bit, UNIZA, akirave adı verilen bir NoCry fidye yazılımı varyantı Kadavro vektör.