Linkedin-in Search

Nuevo ransomware emergente llamado CACTUS

Ransomware

Ransomware

 

RESUMEN EJECUTIVO

Se ha identificado una nueva cepa de ransomware dirigida a grandes entidades comerciales a la que llamaron CACTUS; que aprovecha vulnerabilidades documentadas de dispositivos VPN para conseguir acceso inicial. Según los investigadores, CACTUS Ransomware se encuentra activa desde al menos marzo del presente año.

FORMA DE OPERAR

Según lo observado en la investigación, CACTUS implementa un conjunto superpuesto de tácticas, técnicas y procedimientos (TTP) para lograr comprometer a sus víctimas. Estos incluyen el uso de herramientas como Chisel, Rclone, TotalExec, tareas programadas y scripts personalizados para deshabilitar el software de seguridad y distribuir el binario del ransomware.

ACCESO

Para conseguir el acceso inicial el ransomware CACTUS, usa vulnerabilidades conocidas de dispositivos VPN, aprovechando un archivo llamado ntuser[.]dat dentro de C:\ProgramData para pasar una clave AES que descifrará la clave pública RSA que permitirá descifrar el binario, que establecerá la backdoor por SSH para el C&C que utilizará para la ejecución persistente a través de tareas programadas.

Una vez dentro de la red, el actor de amenazas realiza una exploración interna inicial a través de SoftPerfect Network Scanner (netscan). Los comandos de PowerShell se ejecutan para enumerar puntos finales, ver eventos de seguridad de Windows 4624 para identificar cuentas de usuario y hacer ping a puntos finales remotos. La salida de estos comandos se guarda en archivos de texto en la máquina host. Los archivos de salida se utilizan posteriormente para la ejecución del binario de ransomware.

Para mantener la persistencia dentro del entorno, el actor de amenazas intenta crear una serie de métodos de acceso remoto a través de herramientas legítimas como Splashtop, AnyDesk y SuperOps RMM, junto con Cobalt Strike y el uso de Chisel, una herramienta de proxy SOCKS5. Chisel ayuda a canalizar el tráfico a través de los cortafuegos para proporcionar comunicaciones ocultas al C2 del actor de amenazas que podría permitir extraer secuencias de comandos y herramientas adicionales en el punto final.

Una vez que el autor de la amenaza ha establecido el nivel de acceso correcto, ejecuta un script por lotes que aprovecha msiexec para desinstalar el software antivirus común a través del GUID del software.

Posteriormente para el movimiento lateral, el actor de amenazas intenta volcar las credenciales de los navegadores web de los usuarios y buscar manualmente en el disco un archivo que contenga contraseñas. Además, también pueden intentar volcar las credenciales de LSASS para una escalada de privilegios posterior. Luego, se aprovecha un script por lotes adicional para agregar cuentas privilegiadas a puntos finales remotos.

Ransomware

CÓMO SE EJECUTA EL CIFRADO

Para la ejecución del Ransomware, los actores de amenaza usan herramientas de exfiltración comunes, como Rclone, para extraer automáticamente archivos al almacenamiento en la nube y posteriormente ejecutar el un script ( f1[.]bat ) también observado en operaciones de ransomware de BLACKBASTA conocido como TotalExec[.]ps1 que usa PsExec para automatizar la implementación del cifrador. El script es usado inicialmente para crear un nuevo administrador cuenta de usuario que luego agrega un segundo script llamado f2[.]bat como una ejecución automática a nivel de máquina antes de reiniciar el dispositivo. El f2[.]bat es un script por lotes que se usa para extraer el binario del cifrador de ransomware con 7zip antes de eliminar el archivo zip y ejecutar el binario con un indicador establecido que permite que se ejecute el binario. Luego, PsExec lo ejecuta de forma remota en la lista de dispositivos en el archivo ips[.]txt creado anteriormente.

NOTA DE RESCATE

Una vez se ejecuta el cifrado de los archivos de la víctima, se ejecutan los modos de configuración que le permitirá al binario copiarse a sí mismo en la ruta C:\ProgramData\ {Victim_ID} [.]exe, por ejemplo: C:\ProgramData\abc1-d2ef-gh3i4jkl[.]exe.

Luego, el ransomware escribe un archivo de configuración codificado hexadecimal envuelto con datos basura en C:\ProgramData\ntuser[.]dat que contiene la ruta al exe original, una cadena base64 que se pasó con el argumento de línea de comando «-i» con cualquier resto argumentos de la línea de comandos. La cadena hexadecimal se ofusca aún más empujando la alineación de cada representación de byte de dos caracteres en un carácter para posteriormente ejecutar la tarea programada.

Posteriormente a ello se ejecuta el modo de decodificación utilizando el algoritmo AES y agregando el texto sin formato resultante en un objeto de clave pública RSA.

Una vez ejecutado el cifrado de los archivos se agregan con la extensión «cts\d» y el último carácter es un dígito intercambiable. Luego se crea una nota de rescate llamada «cAcTuS[.]readme[.]txt» con detalles sobre cómo la víctima puede negociar a través del chat TOX.

MITIGACIÓN

Se recomienda lo siguiente:

  • Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
  • Las campañas de phishing se caracterizan por tener faltas de ortografía o errores en el diseño. Revisa el contenido con detención, y desconfía de correos con imperfecciones.
  • Desconfía de los correos alarmantes. Si un mensaje le indica o incentiva a tomar decisiones apresuradas o en un tiempo limitado, probablemente se trata de phishing.
  • Disponer de sistemas antispam para correos electrónicos, de esta manera se reducen las posibilidades de infección a través de campañas masivas de malspam por correo electrónico.
  • Proteger el protocolo RDP:
  • Deshabilite los servicios RDP, si no es necesario. La desactivación de servicios no utilizados e innecesarios ayuda a reducir su exposición a las vulnerabilidades de seguridad, y es una buena práctica de seguridad.
  • Si no es posible cerrarlos, límite las direcciones de origen que pueden acceder a los puertos.
  • Proteger el acceso a los sistemas RDP, bloqueando el sistema local en lugar del sistema remoto. Incluso si el primero no tiene valor, la sesión RDP solo estará protegida limitando el acceso al sistema cliente.
  • Desconectar sesiones RDP en lugar de bloquearlas, esto invalida la sesión actual, lo que impide una reconexión automática de la sesión RDP sin credenciales.
  • Bloquear bidireccionalmente el puerto TCP 3389 utilizando un firewall o hacerlo accesible sólo a través de una VPN privada. o Habilitar la autenticación de nivel de red (NLA).

 

  • Tener políticas de respaldo periódico que se almacenen fuera de la red organizacional.
  • Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.
  • Mantener una buena estrategia de respaldo de información: sistemas de copias de seguridad que deben estar aisladas de la red; y políticas de seguridad. Lo anterior permitirá neutralizar el ataque, restaurar las operaciones y evitar el pago del rescate.
  • Actualizar los equipos con Windows a las últimas versiones.
  • Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
  • Establecer políticas de seguridad en el sistema para impedir la ejecución de ficheros desde directorios comúnmente utilizados por Ransomware (App Data, Local App Data, etc.)
  • Mantener listas de control de acceso para las unidades mapeadas en red restringiendo los privilegios de escritura. Con esto podrá identificar el impacto generado por el cifrado de archivos, entendiendo que el secuestro de información se producirá en todas las unidades de red mapeadas en el equipo víctima.
  • Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.

 

INDICADORES DE COMPROMISO

IP

  • 123.142.213

HASH

  • 5b70972c72bf8af098350f8a53ec830ddbd5c2c7809c71649c93f32a8a3f1 371
  • ebce70ec427279c0717b899bdba48ced38c4a70933035c6b936d89e00d1 cfe16
  • b9ef2e948a9b49a6930fc190b22cbdb3571579d37a4de56564e41a2ef736 767b
15 mayo 1 1

Nuevo ransomware emergente llamado CACTUS

15 de mayo de 2023
Blog Ciberseguridad

Ransomware   RESUMEN EJECUTIVO Se ha identificado una nueva cepa de ransomware dirigida a grandes entidades comerciales a la que llamaron CACTUS; …

34

APT28 aprovecha una vulnerabilidad conocida para realizar un reconocimiento Malware

25 de abril de 2023
Blog Ciberseguridad

APT28 aprovecha una vulnerabilidad conocida para realizar un reconocimiento e implementar malware en los enrutadores de Cisco Malware   RESUMEN EJECUTIVO En …

Compartir

Facebook
Twitter
LinkedIn

Artículos relacionados

Contáctenos!

CHILE
(+562) 2591 9900

Horario de atención 9:00 – 19:00

OFICINA
Galvarino Gallardo 2150
 Providencia – Santiago

Email [email protected]

PERÚ
(+511) 480 1123

Horario de atención 9:00 – 18:00

OFICINA
Cal. German Schreiber N° 276
San Isidro – Lima

Email [email protected]

EEUU
(+1) 305 200 8712

Horario de atención 9:00 – 18:00

OFICINA
2525 Ponce de Leon Blvd. Suite 300
Coral Gables – Florida

Email [email protected]

Suscríbete a nuestro Newsletter

Lo mejor y mas relevante sobre la industria TI en Latinoamerica en un solo lugar y directo en tu correo

logo anida original
Linkedin Youtube
  • Copyright © 2024 ANIDA
Contáctanos
close slider