Контакты
Подписка 2024
ITSEC 2024
Персональные данные в 2025 году: новые требования и инструменты. 16 октября, Москва, Форум ITSEC 2024
Регистрируйтесь и приходите!

Вымогательская банда Cactus эффективно использует известные уязвимости Fortinet для проникновения в целевые сети

10/05/23

cyber-hacker

Новая группировка хакеров Cactus атакует крупные компании с помощью вымогательского вируса-шифровальщика. Она проникает в сети жертв через уязвимости в VPN-оборудовании Fortinet, предварительно шифруя свой файл, чтобы избежать обнаружения. Кибербандиты требуют от своих жертв миллионы долларов за расшифровку данных, а также угрожают слить всё в открытый доступ.

Группировка действует с марта этого года. По компании Kroll, специализирующейся на корпоративных расследованиях и консалтинге, Cactus получает доступ к сетям жертв, эксплуатируя уязвимости в VPN-устройствах Fortinet.

Что отличает Cactus от других операций, так это использование шифрования для защиты двоичного файла программы-вымогателя, передает Securitylab. Злоумышленник использует пакетный скрипт для получения двоичного файла шифровальщика с использованием 7-Zip. Исходный ZIP-архив затем удаляется, а двоичный файл развертывается с определенным флагом, который позволяет ему выполняться. Специалисты полагают, что это делается для предотвращения обнаружения шифровальщика-вымогателя.

«CACTUS, по сути, шифрует сам себя, что затрудняет его обнаружение и помогает ему уклоняться от антивирусных и сетевых инструментов», — заявил Яконо.

Исследователи Kroll выделили три режима запуска файла шифровальщика: установка (-s), чтение конфигурации (-r) и шифрование (-i). Для начала процесса шифрования файлов необходимо предоставить уникальный ключ AES, известный только злоумышленникам, используя параметр -i. Этот ключ необходим для расшифровки конфигурационного файла шифровальщика и публичного ключа RSA, необходимого для шифрования файлов. Он доступен в виде HEX-строки, зашифрованной в исполняемом файле шифровальщика.

Запуск файла шифровальщика с правильным ключом для параметра «-i» позволяет вредоносной программе начать поиск файлов и запустить многопоточный процесс шифрования.

Майкл Гиллеспи, эксперт по вымогательским вирусам также проанализировал способ шифрования данных Cactus и сообщил, что вредоносная программа использует несколько разных расширений для целевых файлов в зависимости от стадии их обработки. Например, когда Cactus только готовит определённый файл к шифрованию, он меняет его расширение на «.CTS0». А уже по окончанию шифрования расширение файла становится «.CTS1».

Рассматривая конкретную вредоносную операцию, успешно реализованную хакерами Cactus, исследователи заметили, что после проникновения в целевую сеть злоумышленники использовали SSH-бэкдор для обеспечения постоянного доступа к C2-серверу.

Специалисты Kroll также отметили, что после получения необходимых привилегий на устройстве хакеры запускали специальный скрипт, который удалял наиболее часто используемые антивирусные продукты.

Как и большинство вымогательских программ, Cactus крадёт данные с компьютера жертв перед шифрованием. Для этого вредонос использует инструмент Rclone для передачи файлов в облачное хранилище.

На данный момент нет публичной информации о размерах выкупов, которые Cactus требует от своих жертв. Кроме того, несмотря на то, что хакеры выгружают данные с целевых устройств, специального сайта для утечки данных у них, по-видимому, нет. Но так как злоумышленники угрожает жертвам опубликовать украденные файлы в случае неуплаты, вполне вероятно, хакеры воспользуются для публикации данных популярными даркнет-форумами.

Так как эти киберпреступники использовали уязвимости в VPN-устройствах Fortinet для проникновения в целевые сети, эксперты рекомендуют всем клиентам Fortinet незамедлительно применить последние обновления безопасности от производителя, чтобы не стать одной из следующих жертв Cactus. А мониторинг сети на предмет выгрузки больших объёмов данных и быстрое реагирование должны защитить компании от финальных и самых разрушительных этапов атаки вымогательского вируса.

Темы:УгрозыВымогателиFortinetKroll
Безопасная разработка
Москва | 15 октября 2024 | Доверенные решения для защиты российских ОС на базе Linux и миграции
Регистрируйтесь и приходите на Форум ITSEC 2024
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Защита АСУ ТП и КИИ: готовимся к 2025 году
Обсуждаем на ITSEC 2024!

Еще темы...

More...