Los investigadores de seguridad cibernética arrojaron luz sobre una nueva cepa de ransomware llamada CACTUS que se descubrió que aprovecha fallas conocidas en los dispositivos VPN para obtener acceso inicial a las redes objetivo.
«Una vez dentro de la red, los actores de CACTUS intentan enumerar las cuentas de usuario locales y de la red, además de los puntos finales alcanzables antes de crear nuevas cuentas de usuario y aprovechar los scripts personalizados para automatizar la implementación y detonación del cifrador de ransomware a través de tareas programadas», dijo Kroll en un informe. compartido con The Hacker News.
Se ha observado que el ransomware se dirige a grandes entidades comerciales desde marzo de 2023, con ataques que emplean tácticas de doble extorsión para robar datos confidenciales antes del cifrado. No se ha identificado ningún sitio de fuga de datos hasta la fecha.
Luego de una explotación exitosa de dispositivos VPN vulnerables, se configura una puerta trasera SSH para mantener el acceso persistente y se ejecuta una serie de comandos de PowerShell para realizar un escaneo de la red e identificar una lista de máquinas para el cifrado.
Los ataques de CACTUS también utilizan Golpe de cobalto y una herramienta de tunelización denominada Cincel para comando y control, junto con software de administración y monitoreo remoto (RMM) como AnyDesk para enviar archivos a los hosts infectados.
También se toman medidas para deshabilitar y desinstalar soluciones de seguridad, así como para extraer credenciales de los navegadores web y el Servicio del subsistema de la autoridad de seguridad local (LSASS) para escalar privilegios.
A la escalada de privilegios le sigue el movimiento lateral, la exfiltración de datos y la implementación de ransomware, la última de las cuales se logra mediante un secuencia de comandos de PowerShell que también ha sido utilizado por basta negra.
Un aspecto novedoso de CACTUS es el uso de un script por lotes para extraer el binario del ransomware con 7-Zip, seguido de la eliminación del archivo .7z antes de ejecutar la carga útil.
«CACTUS esencialmente se encripta a sí mismo, lo que lo hace más difícil de detectar y lo ayuda a evadir las herramientas antivirus y de monitoreo de red», dijo a The Hacker News Laurie Iacono, directora general asociada de riesgo cibernético en Kroll.
«Esta nueva variante de ransomware bajo el nombre de CACTUS aprovecha una vulnerabilidad en un dispositivo VPN popular, lo que muestra que los actores de amenazas continúan apuntando a los servicios de acceso remoto y las vulnerabilidades sin parches para el acceso inicial».
El desarrollo se produce días después de que Trend Micro arrojara luz sobre otro tipo de ransomware conocido como Rapture que tiene algunas similitudes con otras familias como Paraíso.
«Toda la cadena de infección dura de tres a cinco días como máximo», dijo la empresa. dichocon el reconocimiento inicial seguido de la implementación de Cobalt Strike, que luego se usa para eliminar el ransomware basado en .NET.
Aprenda a detener el ransomware con protección en tiempo real
Únase a nuestro seminario web y aprenda cómo detener los ataques de ransomware en seco con MFA en tiempo real y protección de cuenta de servicio.
Se sospecha que la intrusión se facilita a través de servidores y sitios web públicos vulnerables, por lo que es imperativo que las empresas tomen medidas para mantener los sistemas actualizados y hacer cumplir el principio de privilegio mínimo (PoLP).
«Aunque sus operadores usan herramientas y recursos que están fácilmente disponibles, han logrado usarlos de una manera que mejora las capacidades de Rapture al hacerlo más sigiloso y más difícil de analizar», dijo Trend Micro.
CACTUS y Rapture son las últimas incorporaciones a una larga lista de nuevas familias de ransomware que han salido a la luz en las últimas semanas, incluidas gazprom, BlackBit, UNIZA, akiray una variante de ransomware NoCry llamada vector kadavro.