Les chercheurs en cybers\u00e9curit\u00e9 ont mis en lumi\u00e8re une nouvelle souche de ran\u00e7ongiciel appel\u00e9e CACTUS, qui exploite les failles connues des appliances VPN pour obtenir un acc\u00e8s initial aux r\u00e9seaux cibl\u00e9s.<\/p>\n
“Une fois \u00e0 l’int\u00e9rieur du r\u00e9seau, les acteurs de CACTUS tentent d’\u00e9num\u00e9rer les comptes d’utilisateurs locaux et r\u00e9seau en plus des points de terminaison accessibles avant de cr\u00e9er de nouveaux comptes d’utilisateurs et d’exploiter des scripts personnalis\u00e9s pour automatiser le d\u00e9ploiement et la d\u00e9tonation du chiffreur de ransomware via des t\u00e2ches planifi\u00e9es”, a d\u00e9clar\u00e9 Kroll dans un rapport. partag\u00e9 avec The Hacker News.<\/p>\n
Le ransomware a \u00e9t\u00e9 observ\u00e9 ciblant de grandes entit\u00e9s commerciales depuis mars 2023, avec des attaques utilisant des tactiques de double extorsion pour voler des donn\u00e9es sensibles avant le chiffrement. Aucun site de fuite de donn\u00e9es n’a \u00e9t\u00e9 identifi\u00e9 \u00e0 ce jour.<\/p>\n
![\"La](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/05\/1682946326_927_Decouverte-de-la-nouvelle-boite-a-outils-de-logiciels-malveillants.png\")
<\/a><\/center><\/div>\nSuite \u00e0 une exploitation r\u00e9ussie des p\u00e9riph\u00e9riques VPN vuln\u00e9rables, une porte d\u00e9rob\u00e9e SSH est configur\u00e9e pour maintenir un acc\u00e8s persistant et une s\u00e9rie de commandes PowerShell sont ex\u00e9cut\u00e9es pour effectuer une analyse du r\u00e9seau et identifier une liste de machines \u00e0 chiffrer. <\/p>\n
Les attaques CACTUS utilisent \u00e9galement Frappe de cobalt<\/a> et un outil de tunnelisation appel\u00e9 Ciseau<\/a> pour la commande et le contr\u00f4le, aux c\u00f4t\u00e9s d’un logiciel de surveillance et de gestion \u00e0 distance (RMM) comme AnyDesk pour envoyer des fichiers aux h\u00f4tes infect\u00e9s.<\/p>\n Des mesures sont \u00e9galement prises pour d\u00e9sactiver et d\u00e9sinstaller les solutions de s\u00e9curit\u00e9, ainsi que pour extraire les informations d’identification des navigateurs Web et du service de sous-syst\u00e8me de l’autorit\u00e9 de s\u00e9curit\u00e9 locale (LSASS<\/a>) pour augmenter les privil\u00e8ges.<\/p>\n L’escalade de privil\u00e8ges est suivie d’un mouvement lat\u00e9ral, d’une exfiltration de donn\u00e9es et d’un d\u00e9ploiement de ran\u00e7ongiciels, le dernier \u00e9tant r\u00e9alis\u00e9 au moyen d’un Script PowerShell<\/a> qui a \u00e9galement \u00e9t\u00e9 utilis\u00e9 par Basta noir<\/a>.<\/p>\n Un nouvel aspect de CACTUS est l’utilisation d’un script batch pour extraire le binaire du ransomware avec 7-Zip, suivi de la suppression de l’archive .7z avant d’ex\u00e9cuter la charge utile.<\/p>\n “CACTUS se crypte essentiellement, ce qui le rend plus difficile \u00e0 d\u00e9tecter et l’aide \u00e0 \u00e9chapper aux antivirus et aux outils de surveillance du r\u00e9seau”, a d\u00e9clar\u00e9 Laurie Iacono, directrice g\u00e9n\u00e9rale associ\u00e9e du cyber-risque chez Kroll, \u00e0 The Hacker News.<\/p>\n “Cette nouvelle variante de ransomware sous le nom de CACTUS exploite une vuln\u00e9rabilit\u00e9 dans un appareil VPN populaire, montrant que les acteurs de la menace continuent de cibler les services d’acc\u00e8s \u00e0 distance et les vuln\u00e9rabilit\u00e9s non corrig\u00e9es pour l’acc\u00e8s initial.”<\/p>\n Le d\u00e9veloppement intervient quelques jours apr\u00e8s que Trend Micro a fait la lumi\u00e8re sur un autre type de ransomware connu sous le nom de Rapture qui pr\u00e9sente certaines similitudes avec d’autres familles telles que Paradis<\/a>. <\/p>\n “L’ensemble de la cha\u00eene d’infection s’\u00e9tend sur trois \u00e0 cinq jours au maximum”, a d\u00e9clar\u00e9 l’entreprise. a dit<\/a>avec la reconnaissance initiale suivie du d\u00e9ploiement de Cobalt Strike, qui est ensuite utilis\u00e9 pour supprimer le ransomware bas\u00e9 sur .NET.<\/p>\n Apprenez \u00e0 arr\u00eater les ransomwares avec une protection en temps r\u00e9el<\/p>\n Rejoignez notre webinaire et d\u00e9couvrez comment arr\u00eater les attaques de ransomwares dans leur \u00e9lan gr\u00e2ce \u00e0 la MFA en temps r\u00e9el et \u00e0 la protection des comptes de service.<\/p>\n Sauvez ma place\u00a0!<\/a><\/div>\n L’intrusion est soup\u00e7onn\u00e9e d’\u00eatre facilit\u00e9e par des sites Web et des serveurs vuln\u00e9rables destin\u00e9s au public, ce qui oblige les entreprises \u00e0 prendre des mesures pour maintenir les syst\u00e8mes \u00e0 jour et appliquer le principe du moindre privil\u00e8ge (PoLP<\/a>).<\/p>\n “Bien que ses op\u00e9rateurs utilisent des outils et des ressources facilement disponibles, ils ont r\u00e9ussi \u00e0 les utiliser d’une mani\u00e8re qui am\u00e9liore les capacit\u00e9s de Rapture en le rendant plus furtif et plus difficile \u00e0 analyser”, a d\u00e9clar\u00e9 Trend Micro.<\/p>\n CACTUS et Rapture sont les derniers ajouts \u00e0 une longue liste de nouvelles familles de ransomwares qui ont \u00e9t\u00e9 d\u00e9couvertes ces derni\u00e8res semaines, notamment Gazprom<\/a>, Bit noir<\/a>, UNIZA<\/a>, Akira<\/a>et une variante du ran\u00e7ongiciel NoCry appel\u00e9e Vecteur Kadavro<\/a>.<\/p>\n <\/p>\n