El ransomware Cactus se cifra a si mismo para evadir la detección

Se descubrió un nuevo ransomware, denominado Cactus, que aprovecha las vulnerabilidades de los dispositivos VPN para el acceso inicial. La operación de ransomware ha estado activa desde marzo y apunta a grandes pagos. Una de sus características más peligrosas, que lo hace destacar, es que se encripta a sí mismo para evadir la detección.

Según una investigación de Kroll, el ransomware Cactus obtiene acceso inicial a través de vulnerabilidades conocidas en los dispositivos VPN de Fortinet. El atacante utiliza un servidor VPN al que accede a través de una cuenta de servicio para infiltrarse en el sistema.

El operador del ransomware luego emplea un script por lotes para obtener el binario del cifrador usando 7-Zip.
Después de extraer el binario, el archivo ZIP original se elimina y el binario se ejecuta con un indicador determinado que le permite ejecutarse sin ser detectado. Además, hay tres modos de ejecución principales, cada uno elegido con un determinado cambio en la línea de comandos: configuración (-s), configuración de lectura (-r) y cifrado (-i).

TTP de cactus

Después de obtener acceso a la red, el ransomware establece un acceso persistente mediante una tarea programada y una puerta trasera SSH a la que se puede acceder desde el servidor C2. Para identificar objetivos potenciales, el ransomware utiliza SoftPerfect Network Scanner (netscan).

Para el reconocimiento, el atacante usa los comandos de PowerShell para enumerar los puntos finales, detectar las cuentas de usuario revisando los inicios de sesión exitosos en el Visor de eventos de Windows y hacer ping a los hosts remotos.
El ransomware Cactus hace uso de una variante modificada de la herramienta PSnmap de código abierto, un equivalente de PowerShell del escáner de red Nmap.

El ransomware prueba diferentes métodos de acceso remoto a través de herramientas genuinas, como AnyDesk, Splashtop y SuperOps RMM, con Cobalt Strike y Chisel, para lanzar varias herramientas.
Después de la exfiltración de datos, los atacantes utilizan un script de PowerShell (TotalExec) para automatizar el proceso de cifrado. El guión se ve a menudo en los ataques de BlackBasta.