Según una investigación de Kroll, el ransomware Cactus obtiene acceso inicial a través de vulnerabilidades conocidas en los dispositivos VPN de Fortinet. El atacante utiliza un servidor VPN al que accede a través de una cuenta de servicio para infiltrarse en el sistema.
El operador del ransomware luego emplea un script por lotes para obtener el binario del cifrador usando 7-Zip.
Después de extraer el binario, el archivo ZIP original se elimina y el binario se ejecuta con un indicador determinado que le permite ejecutarse sin ser detectado. Además, hay tres modos de ejecución principales, cada uno elegido con un determinado cambio en la línea de comandos: configuración (-s), configuración de lectura (-r) y cifrado (-i).
TTP de cactus
Después de obtener acceso a la red, el ransomware establece un acceso persistente mediante una tarea programada y una puerta trasera SSH a la que se puede acceder desde el servidor C2. Para identificar objetivos potenciales, el ransomware utiliza SoftPerfect Network Scanner (netscan).
Para el reconocimiento, el atacante usa los comandos de PowerShell para enumerar los puntos finales, detectar las cuentas de usuario revisando los inicios de sesión exitosos en el Visor de eventos de Windows y hacer ping a los hosts remotos.
El ransomware Cactus hace uso de una variante modificada de la herramienta PSnmap de código abierto, un equivalente de PowerShell del escáner de red Nmap.
El ransomware prueba diferentes métodos de acceso remoto a través de herramientas genuinas, como AnyDesk, Splashtop y SuperOps RMM, con Cobalt Strike y Chisel, para lanzar varias herramientas.
Después de la exfiltración de datos, los atacantes utilizan un script de PowerShell (TotalExec) para automatizar el proceso de cifrado. El guión se ve a menudo en los ataques de BlackBasta.