CACTUS ransomware

Sep 08, 2023

mié, 10 de mayo de 2023

laurie lacono

esteban verde

david truman

Los analistas de Kroll Cyber ​​Threat Intelligence identificaron una nueva variedad de ransomware, denominada CACTUS, dirigida a grandes entidades comerciales desde marzo de 2023. El nombre "CACTUS" se deriva del nombre de archivo proporcionado en la nota de rescate, cAcTuS.readme.txt, y el auto- nombre declarado dentro de la propia nota de rescate. Los archivos cifrados se adjuntan con .cts1, aunque Kroll señala que se ha observado que el número al final de la extensión varía según los incidentes y las víctimas. Kroll ha observado la exfiltración de datos confidenciales y la extorsión de las víctimas a través del servicio de mensajería entre pares conocido como Tox, pero no se identificó un sitio conocido de fuga de víctimas en el momento del análisis.

Según la experiencia de Kroll, CACTUS ha implementado un conjunto superpuesto de tácticas, técnicas y procedimientos (TTP). Estos incluyen el uso de herramientas como Chisel, Rclone, TotalExec, Tareas programadas y scripts personalizados para deshabilitar el software de seguridad para distribuir el binario de ransomware. Kroll ha observado que los actores de amenazas obtienen acceso inicial a través de la explotación de dispositivos VPN. Curiosamente, se observó que CACTUS aprovechaba un archivo llamado ntuser.dat dentro de C:\ProgramData para pasar una clave AES para descifrar la clave pública RSA para descifrar el binario, que se usa para la ejecución persistente a través de tareas programadas.

Según la inteligencia disponible en el momento de este boletín, el exploit inicial de etapa 1 más probable del ciclo de vida de intrusión de Kroll se proporciona a través de la explotación de dispositivos VPN vulnerables. Esta táctica ha sido evaluada y se ha observado que es un hilo común en varios incidentes de CACTUS que Kroll ha investigado. En todos los casos observados, el acceso del actor de amenazas se obtuvo desde un servidor VPN con una cuenta de servicio VPN. Después de esto, se establece una puerta trasera SSH para el comando y control del actor de amenazas (C2) para mantener el acceso persistente a través de tareas programadas.

Figura 1: instalar.bat

MITRE ATT&CK - T1190: Aprovechar la aplicación pública MITRE ATT&CK - T1021.004: SSHMITRE ATT&CK - T1053.005: Tarea programada

Una vez dentro de la red, el actor de amenazas realiza una exploración interna inicial a través de SoftPerfect Network Scanner (netscan). Los comandos de PowerShell se ejecutan para enumerar puntos finales, ver eventos de seguridad de Windows 4624 para identificar cuentas de usuario y hacer ping a puntos finales remotos. La salida de estos comandos se guarda en archivos de texto en la máquina host. Los archivos de salida se utilizan posteriormente para la ejecución del binario de ransomware.

Figura 2: enumeración de PowerShell

Kroll también identificó una versión modificada de un script de código abierto que actúa como un equivalente de NMAP para PowerShell, llamado PSnmap.ps1. Esto también se ejecuta para identificar otros puntos finales dentro de la red.

MITRE ATT&CK - T1049: Descubrimiento de conexiones de red del sistemaMITRE ATT&CK - T1087.002: Cuenta de dominioMITRE ATT&CK - T1018: Descubrimiento de sistema remotoMITRE ATT&CK - T1087: Descubrimiento de cuenta

Para mantener la persistencia dentro del entorno, el actor de amenazas intenta crear una serie de métodos de acceso remoto. Kroll ha identificado el uso de herramientas legítimas de acceso remoto como Splashtop, AnyDesk y SuperOps RMM, junto con Cobalt Strike y el uso de Chisel, una herramienta de proxy SOCKS5. Chisel ayuda a canalizar el tráfico a través de los cortafuegos para proporcionar comunicaciones ocultas al C2 del actor de amenazas y probablemente se use para extraer secuencias de comandos y herramientas adicionales en el punto final.

Una vez que el autor de la amenaza ha establecido el nivel de acceso correcto (consulte: Escalamiento), ejecuta un script por lotes que aprovecha msiexec para desinstalar el software antivirus común a través del GUID del software y, en al menos un (1) incidente, Bitdefender desinstalador como se muestra en la Figura 3.

Figura 3: Sección del script por lotes para desactivar el antivirus

MITRE ATT&CK - T1219: Software de acceso remotoMITRE ATT&CK - T1090: ProxyMITRE ATT&CK - T1562.001: Deshabilitar o modificar herramientas

Para obtener suficientes credenciales para la ejecución y el movimiento lateral, el actor de amenazas ha intentado comúnmente volcar las credenciales de los navegadores web de los usuarios y buscar manualmente en el disco un archivo que contenga contraseñas. Además, también pueden intentar volcar las credenciales de LSASS para una escalada de privilegios posterior. Luego, se aprovecha un script por lotes adicional para agregar cuentas privilegiadas a puntos finales remotos. Esta actividad se analiza más adelante en el informe.

Figura 4: f1.bat Adición de cuentas de administrador local

MITRE ATT&CK - T1136: Crear cuenta MITRE ATT&CK - T1555.003: Credenciales de navegadores web MITRE ATT&CK - T1003: Descarga de credenciales del sistema operativo

Se ha observado movimiento lateral realizado por cuentas válidas o creadas y el protocolo de escritorio remoto (RDP). Sin embargo, también se han utilizado herramientas de gestión remota como Super Ops para el movimiento lateral.

MITRE ATT&CK - T1021.001: Protocolo de escritorio remoto MITRE ATT&CK - T1072: Herramientas de implementación de software

Al igual que con muchos grupos de ransomware, los actores de CACTUS también intentan filtrar datos confidenciales para aumentar la presión de la extorsión. Kroll ha observado que se utilizan herramientas de exfiltración comunes, como Rclone, para extraer automáticamente archivos al almacenamiento en la nube.

MITRE ATT&CK - T1567.002: Exfiltración al almacenamiento en la nube

Una vez que se han exfiltrado los datos, el actor de amenazas comienza a prepararse para cifrar los dispositivos. Utilizando una secuencia de comandos a menudo aprovechada por BLACKBASTA conocida como TotalExec.ps1 que usa PsExec para automatizar la implementación del cifrador y, en este caso, la secuencia de comandos f1.bat que se muestra en la Figura 4 y f2.bat que se muestra en la Figura 5. Como se discutió anteriormente, el lote El script f1.bat se implementa primero para crear una nueva cuenta de usuario administrador que luego agrega un segundo script llamado f2.bat como una ejecución automática a nivel de máquina antes de reiniciar el dispositivo. El f2.bat se puede ver en la Figura 6, muestra un script por lotes que se usa para extraer el binario del cifrador de ransomware con 7zip antes de eliminar el archivo zip y ejecutar el binario con un indicador establecido que permite que se ejecute el binario. Luego, PsExec lo ejecuta de forma remota en la lista de dispositivos en el archivo ips.txt creado anteriormente.

Figura 5: ejecución de TotalExec.ps1

Figura 6 – Ejecución f2.bat de Ransomware Encryptor Binary

El binario en sí es interesante, por lo general tiene el mismo nombre que el ID de víctima individual que se usa para las negociaciones y que normalmente está estructurado en expresiones regulares [a-z1-9]{4}-[a-z1-9]{4} -[a-z1-9]{4}-[a-z1-9]{4}\.exe por ejemplo "a12b-e4fg-c12g-zkc2.exe" donde el nombre antes de ".exe" actúa como el identificación de la víctima.

El ejecutable empaquetado UPX tiene 3 modos principales de ejecución controlados por conmutadores de línea de comandos. En la Figura 16 se puede ver un flujo completo del proceso de ejecución.

Este modo se activa al pasar un indicador "-s" en la línea de comando y su propósito es configurarse como persistente y luego llamarse a sí mismo nuevamente durante el siguiente modo.

En este modo, copiará su propio archivo ejecutable en C:\ProgramData\{Victim_ID}.exe, por ejemplo: C:\ProgramData\abc1-d2ef-gh3i-4jkl.exe.

Luego, el ransomware escribe un archivo de configuración codificado hexadecimal envuelto con datos basura en C:\ProgramData\ntuser.dat que contiene la ruta al exe original, una cadena base64 que se pasó con el argumento de línea de comando "–i" con cualquier resto argumentos de la línea de comandos. La cadena hexadecimal se ofusca aún más empujando la alineación de cada representación de byte de dos caracteres en un carácter.

Figura 7 – Primeros 100 bytes de C:\ProgramData\ntuser.dat

Figura 8 - Datos de C:\ProgramData\ntuser.dat con decodificación hexadecimal estándar

Figura 9 - Datos de C:\ProgramData\ntuser.dat con decodificación hexadecimal y alineación ajustada

Figura 10: configuración de ransomware oculta entre texto no deseado extraído de C:\ProgramData\ntuser.dat

Una vez que CACTUS ha creado el archivo ntuser.dat, procede a crear y ejecutar una tarea programada que ejecuta el comando C:\ProgramData\{Victim_ID}.exe -r

El proceso de configuración de CACTUS ahora termina.

Cuando se le llama desde la tarea programada con la opción "-r", el ransomware lee el archivo ntuser.dat y extrae los tres campos.

El proceso CACTUS luego elimina el archivo ejecutable al que se hace referencia en el primer campo. Luego genera otra instancia de sí mismo pasando el segundo campo como parámetro a la opción "–i", y luego agrega el tercer campo que contiene los argumentos restantes a la línea de comando.

Las instancias de Cactus en modo de configuración de lectura ahora salen.

Cuando el ransomware se genera sin los parámetros -s o -r, intentará cifrar el sistema de archivos. El malware decodifica una cadena hexadecimal de código duro. Esta cadena hexadecimal se puede encontrar fácilmente dentro del binario una vez que se ha desempaquetado.

Figura 11 – Cadena hexagonal

Una vez que ha decodificado la cadena hexadecimal, procede a descifrar los datos resultantes utilizando el algoritmo AES con el parámetro "-i" y un vector de inicialización codificado. El texto sin formato resultante se carga en un objeto de clave pública RSA.

Figura 12: descifrado AES de la clave RSA pública

Luego, el malware busca archivos en el sistema de archivos e inicia varios subprocesos para cifrarlos. Para encriptar una gran cantidad de archivos de manera eficiente, utiliza la implementación de sobres de OpenSSL desde una función vinculada estáticamente. Primero, se genera una clave AES aleatoria para cifrar un archivo, luego la clave RSA pública cifra la clave AES. Esto crea un "sobre" que contiene el archivo cifrado con AES y la clave AES cifrada con RSA. Por lo tanto, para descifrar el archivo, se requiere la clave RSA privada para extraer la clave AES.

Figura 13: proceso de cifrado de archivos

Figura 14: Cifrado de archivos con AES, RSA y OpenSSL

El malware continúa cifrando archivos hasta que finaliza.

Una vez ejecutados, los archivos se agregan con la extensión "cts\d" y el último carácter es un dígito intercambiable. Luego se crea una nota de rescate llamada "cAcTuS.readme.txt" con detalles sobre cómo la víctima puede negociar a través del chat TOX. La mayoría de los grupos de ransomware enumeran un sitio vergonzoso, sin embargo, esto no ha sido identificado en este momento, ni ninguna otra área de divulgación de datos.

Figura 15 – Nota de rescate de CACTUS

En el momento de redactar este boletín, Kroll aún no había identificado un "sitio vergonzoso" o un blog relacionado con la identificación de víctimas creado por CACTUS con el fin de compartir datos de víctimas si no se pagaba un rescate. En términos de rescate, actualmente no hay suficientes datos para proporcionar un precio inicial promedio. También está por verse qué sucedería si no se pagara un rescate y qué tan exitoso puede ser cualquier descifrador proporcionado por un actor de amenazas.

MITRE ATT&CK - T1027.002: Paquete de software MITRE ATT&CK - T1486: Datos cifrados para impacto MITRE ATT&CK - T1027: Archivos ofuscados o información MITRE ATT&CK - T1570: Transferencia lateral de herramientas

Figura 16: ejecución binaria de ransomware

Kroll proporcionó una secuencia de comandos de python simple para decodificar el archivo ntuser.dat asociado con CACTUS.

TA0001

T1190

Aprovechar la aplicación orientada al público

TA0002

T1059

Intérprete de comandos y secuencias de comandos

T1053.005

Tarea programada

T1072

Herramientas de implementación de software

TA0003

T1053.005

Tarea programada

T1136

Crear una cuenta

TA0004

T1053.005

Tarea programada

TA0005

T1562.001

Deshabilitar o modificar herramientas

T1027.002

Paquete de software

T1027

Archivos o información ofuscados

TA006

T1555.003

Credenciales de navegadores web

T1003

Volcado de credenciales del sistema operativo

TA0007

T1049

Detección de conexiones de red del sistema

T1087.002

Cuenta de dominio

T1087

Descubrimiento de cuenta

T1018

Descubrimiento de sistemas remotos

TA0008

T1021.001

Protocolo de escritorio remoto

T1072

Herramientas de implementación de software

T1570

Transferencia lateral de herramientas

TA0009

T1119

Cobranza Automatizada

TA0010

T1567.002

Exfiltración al almacenamiento en la nube

TA0011

T1219

Software de acceso remoto

T1090

Apoderado

TA0040

T1486

Datos cifrados para impacto

Kroll ha identificado recomendaciones relacionadas con esta alerta:

Supervisar la ejecución de PowerShellAsegúrese de que PowerShell esté registrado y cree detecciones para la ejecución de scripts codificados

Auditoría de cuentas de usuario, administrador y servicio Asegúrese de que las cuentas tengan el acceso y los privilegios correctos. Implementar el principio de privilegio mínimo.

Implementar la autenticación multifactorLa autenticación multifactor puede restringir el acceso a áreas sensibles y puede evitar el movimiento lateral.

Revisar las estrategias de copia de seguridadAsegúrese de que se realicen varias copias de seguridad y que al menos una copia de seguridad esté aislada de la red.

El equipo de inteligencia de amenazas de Kroll ha creado e implementado reglas de detección para CACTUS. Si tiene alguna pregunta, comuníquese con su administrador técnico de cuentas o envíe un ticket de soporte.

Si no está seguro de sus capacidades de detección de CACTUS (o cualquier otra variante de ransomware), póngase en contacto con un experto de Kroll hoy mismo.

Se identificaron los siguientes archivos y hashes para el incidente.

Las siguientes direcciones IP externas se observaron durante el incidente:

Respuesta a incidentes, análisis forense digital, notificación de infracciones, servicios de detección gestionados, pruebas de penetración, ciberevaluaciones y asesoramiento.

Detener los ciberataques. La detección y la respuesta administradas por Kroll Responder están impulsadas por expertos en IR experimentados e inteligencia de amenazas de primera línea para brindar una respuesta inigualable.

Reclute personal de respuesta experimentado para manejar todo el ciclo de vida del incidente de seguridad.

Kroll ofrece más que un retenedor de respuesta a incidentes típico: asegure un verdadero retenedor de riesgo cibernético con análisis forense digital de élite y capacidades de respuesta a incidentes y máxima flexibilidad para servicios proactivos y de notificación.

La evaluación de preparación para ransomware de Kroll ayuda a su organización a evitar ataques de ransomware al examinar 14 áreas de seguridad cruciales y vectores de ataque.

La experiencia de Kroll establece si los datos se vieron comprometidos y en qué medida. Descubrimos información procesable, dejándolo mejor preparado para gestionar un incidente futuro.

Los expertos en informática forense de Kroll se aseguran de que no se pase por alto ninguna evidencia digital y ayudan en cualquier etapa de una investigación o litigio, independientemente del número o la ubicación de las fuentes de datos.

En un ataque de compromiso de correo electrónico comercial (BEC), una respuesta rápida y decisiva puede marcar una gran diferencia en la limitación del riesgo financiero, de reputación y de litigio. Con décadas de experiencia investigando estafas BEC en una variedad de plataformas y herramientas forenses patentadas, Kroll es su mejor socio de respuesta BEC.

Los servicios de remediación y recuperación de incidentes cibernéticos son parte de las capacidades de respuesta completa de Kroll, lo que acelera la recuperación del sistema y minimiza la interrupción del negocio.

Valide sus defensas cibernéticas contra amenazas del mundo real. Los servicios de prueba de penetración de clase mundial de Kroll reúnen inteligencia de amenazas de primera línea, miles de horas de evaluaciones de seguridad cibernética completadas cada año y un equipo de expertos cibernéticos certificados: la base de nuestro enfoque sofisticado y escalable.