Контакты
Подписка 2024
DCAP и DLP
13 марта. Защита корпоративных данных: достаточно ли внедрить DCAP и DLP?
Представляйте решения на онлайн-конференции!

Вымогательская банда Cactus эффективно использует известные уязвимости Fortinet для проникновения в целевые сети

10/05/23

cyber-hacker

Новая группировка хакеров Cactus атакует крупные компании с помощью вымогательского вируса-шифровальщика. Она проникает в сети жертв через уязвимости в VPN-оборудовании Fortinet, предварительно шифруя свой файл, чтобы избежать обнаружения. Кибербандиты требуют от своих жертв миллионы долларов за расшифровку данных, а также угрожают слить всё в открытый доступ.

Группировка действует с марта этого года. По компании Kroll, специализирующейся на корпоративных расследованиях и консалтинге, Cactus получает доступ к сетям жертв, эксплуатируя уязвимости в VPN-устройствах Fortinet.

Что отличает Cactus от других операций, так это использование шифрования для защиты двоичного файла программы-вымогателя, передает Securitylab. Злоумышленник использует пакетный скрипт для получения двоичного файла шифровальщика с использованием 7-Zip. Исходный ZIP-архив затем удаляется, а двоичный файл развертывается с определенным флагом, который позволяет ему выполняться. Специалисты полагают, что это делается для предотвращения обнаружения шифровальщика-вымогателя.

«CACTUS, по сути, шифрует сам себя, что затрудняет его обнаружение и помогает ему уклоняться от антивирусных и сетевых инструментов», — заявил Яконо.

Исследователи Kroll выделили три режима запуска файла шифровальщика: установка (-s), чтение конфигурации (-r) и шифрование (-i). Для начала процесса шифрования файлов необходимо предоставить уникальный ключ AES, известный только злоумышленникам, используя параметр -i. Этот ключ необходим для расшифровки конфигурационного файла шифровальщика и публичного ключа RSA, необходимого для шифрования файлов. Он доступен в виде HEX-строки, зашифрованной в исполняемом файле шифровальщика.

Запуск файла шифровальщика с правильным ключом для параметра «-i» позволяет вредоносной программе начать поиск файлов и запустить многопоточный процесс шифрования.

Майкл Гиллеспи, эксперт по вымогательским вирусам также проанализировал способ шифрования данных Cactus и сообщил, что вредоносная программа использует несколько разных расширений для целевых файлов в зависимости от стадии их обработки. Например, когда Cactus только готовит определённый файл к шифрованию, он меняет его расширение на «.CTS0». А уже по окончанию шифрования расширение файла становится «.CTS1».

Рассматривая конкретную вредоносную операцию, успешно реализованную хакерами Cactus, исследователи заметили, что после проникновения в целевую сеть злоумышленники использовали SSH-бэкдор для обеспечения постоянного доступа к C2-серверу.

Специалисты Kroll также отметили, что после получения необходимых привилегий на устройстве хакеры запускали специальный скрипт, который удалял наиболее часто используемые антивирусные продукты.

Как и большинство вымогательских программ, Cactus крадёт данные с компьютера жертв перед шифрованием. Для этого вредонос использует инструмент Rclone для передачи файлов в облачное хранилище.

На данный момент нет публичной информации о размерах выкупов, которые Cactus требует от своих жертв. Кроме того, несмотря на то, что хакеры выгружают данные с целевых устройств, специального сайта для утечки данных у них, по-видимому, нет. Но так как злоумышленники угрожает жертвам опубликовать украденные файлы в случае неуплаты, вполне вероятно, хакеры воспользуются для публикации данных популярными даркнет-форумами.

Так как эти киберпреступники использовали уязвимости в VPN-устройствах Fortinet для проникновения в целевые сети, эксперты рекомендуют всем клиентам Fortinet незамедлительно применить последние обновления безопасности от производителя, чтобы не стать одной из следующих жертв Cactus. А мониторинг сети на предмет выгрузки больших объёмов данных и быстрое реагирование должны защитить компании от финальных и самых разрушительных этапов атаки вымогательского вируса.

Темы:УгрозыВымогателиFortinetKroll
Российские платформы виртуализации
21 марта. Российские платформы виртуализации: безопасность, производительность, совместимость
Участвуйте и представляйте решения!
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
14 марта. Автоматизация реагирования на инциденты по информационной безопасности
Участвуйте!

Еще темы...

More...