Nova, sofisticirana vrsta ransomwarea poznata kao Cactus cilja na komercijalne subjekte visokog profila iskorištavanjem ranjivosti VPN-a, otkrili su sigurnosni stručnjaci.
Naime, Cactusov ransomware šifrira sam sebe kako bi izbjegao otkrivanje od strane antivirusnog softvera, što čini borbu protiv njega posebno teškom.
Stručnjaci za kibernetičku sigurnost u Krollu, istaknutoj tvrtki za korporativno istraživanje i savjetovanje o riziku, otkrili su da se Cactus ransomware infiltrira u mreže svojih žrtava iskorištavajući sigurnosne propuste u VPN uređajima. Istraživači su primijetili da su hakeri uspjeli ući u te mreže putem VPN poslužitelja koristeći kompromitirane račune.
Jedinstvena značajka Cactus ransomwarea leži u njegovoj sposobnosti samošifriranja. Kako bi to postigli, operateri Cactusa koriste skupnu skriptu za dobivanje binarne šifre uz pomoć 7-Zipa, popularnog alata za kompresiju.
Nakon što se datoteka izdvoji, početna ZIP arhiva se eliminira, a datoteka se izvršava s određenim parametrom, što antivirusnom softveru otežava otkrivanje prijetnje.
Ovaj nekonvencionalni pristup uznemirio je stručnjake za kibernetičku sigurnost, koji upozoravaju organizacije da ostanu na visokom stupnju pripravnosti za takve nevjerojatno napredne i kreativne prijetnje.
Kako je izvijestio BleepingComputer , Krollovi istražitelji razradili su izvršavanje skripte, spomenuvši da počinitelji koriste tri različita “prekidača” za izvođenje: -s za postavljanje, -r za učitavanje konfiguracijske datoteke i -i za enkripciju.
Nakon proboja u ciljanu mrežu, počinitelji koriste kombinaciju planiranih zadataka i SSH backdoorova kako bi postigli redundanciju virusa i pokrenuli nekoliko izviđačkih operacija, uključujući pinganje udaljenih računala, skeniranje lokalne mreže i identificiranje korisničkih računa.
Kako bi povećao štetu, Cactus ransomware pokreće skupnu skriptu koja deinstalira uobičajeni antivirusni softver. Prije šifriranja datoteka na kompromitiranim strojevima, akteri ih šalju na server u cloudu, a zatim koriste skriptu PowerShell za automatizaciju enkripcije.
Navodno akteri prijetnje još nisu izradili namjensku web stranicu za objavljivanje ukradenih podataka. Međutim, njihova poruka o otkupnini eksplicitno spominje objavljivanje ukradenih dokumenata njihovih žrtava ako odbiju platiti otkupninu.
Takoder treba napomenuti da istoimeni ransomware najvise prolazi Fortigate routere preko poznatog propusta u VPN-u, ali i da je ista greška ispravljena vrlo brzo i update-om na verziju 7.2.3 bi trebali bit isigurni.