Il panorama degli attacchi informatici si sta rifocillando con un particolare ransomware in grado di auto crittografarsi per riuscire a eludere il lavoro degli antivirus. Questo sistema è, attualmente, uno dei protagonisti nell’ambito degli attacchi che richiedono il pagamento di un riscatto in cambio della non divulgazione di informazioni.
Come è evidente, il cyber crimine è in continua evoluzione facendo leva sulle sempre più sofisticate tecnologie e tecniche di attacco. Il ransomware, in particolare, sta costringendo le aziende ad affrontare minacce sempre nuove e talvolta sconosciute.
Indice dei contenuti:
Il nuovo ransomware Cactus: cosa sappiamo
Secondo le prime informazioni, Cactus è il nuovo ceppo di ransomware che si avvale di tecniche all’avanguardia allo scopo di rubare dati e crittografare file, con la peculiarità di utilizzare un metodo diverso per evitare il rilevamento.
La denominazione dell’attacco deriva dal nome del file fornito all’interno della richiesta di riscatto, cAcTuS.readme.txt.
Le principali caratteristiche del ransomware
La storia di Cactus è davvero molto recente. Si tratta, infatti, di una minaccia attiva dal marzo del 2023. L’attacco sfrutta le vulnerabilità relative alle appliance VPN Fortinet, con l’obiettivo di permeare nelle reti di grandi realtà commerciali.
In tutti i casi osservati da Kroll, il malintenzionato ha ottenuto l’accesso al servizio VPN e ha utilizzato una backdoor SSH che potrà successivamente raggiungere da un server di comando e controllo (C2) per mantenere il controllo dei device. Interessante sapere che, una volta all’interno della rete, il cyber criminale effettua uno scouting tramite SoftPerfect Network Scanner (netscan) per individuare il target più appetibile.
Un’ulteriore particolare caratteristica di Cactus è l’utilizzo della crittografia per la protezione del codice specifico di questo ransomware. Vengono, quindi, sfruttati due sistemi: l’archivio 7Zip e lo script batch, con quest’ultimo che sfrutta msiexec per disattivare la protezione dei software antivirus, potendo così agire liberamente per il furto dei dati. Per tale scopo Cactus usa Rclone, che permette di effettuare il trasferimento di file su cloud.
Secondo quanto analizzato dagli esperti di Kroll, la crittografia sfruttata dal Cactus è unica nel contesto dei ransomware.
Come si diffonde il ransomware Cactus?
Abbiamo accennato ai metodi utilizzati da Cactus per diffondersi. Adesso li approfondiremo nel dettaglio. A seguito dell’intrusione nella rete, la bussola degli hacker si muove verso l’individuazione degli account e degli endpoint più deboli. Come? Eseguendo dei comandi PowerShell e ping degli host remoti, che danno la possibilità di poter effettuare una scansione della rete e di identificare gli endpoint e gli account più facili da crittografare.
Il passo successivo è quello di generare nuovi account e di usare gli script che consentono di diffondere il ransomware in maniera subdola e persistente tramite precise azioni programmate. Tale procedura permette di criptare le informazioni e i dati che appartengono alla vittima, così da richiedere il pagamento di un riscatto per poter ottenere il rilascio del file.
Il nuovo ransomware Cactus, inoltre, si avvale di Cobalt Strike e di un particolare strumento di tunneling, conosciuto con il nome di Chisel, con diversi software impiegati per il monitoraggio e la gestione da remoto. Uno di questi è AnyDesk, utile per poter inoltrare dati e informazioni agli host che sono stati infettati.
Altro metodo di diffusione di Cactus consiste nella disattivazione dei sistemi di sicurezza e nel furto delle credenziali. Dopo essere riusciti a ottenere i permetti utili, chi attacca si muove in modo laterale nella rete, così da poter entrare e procedere con la copia dei dati, prima di aver distribuito il ransomware.
Come asserito da Kroll, Cactus essenzialmente crittografa se stesso, rendendo più difficile il suo rilevamento e aiutandolo a eludere gli antivirus e gli strumenti di monitoraggio della rete.
Perché Cactus è un ransomware unico?
A differenza di altri ransomware, Cactus utilizza la crittografia per sfuggire agli antivirus. A tal scopo, l’hacker agisce con lo script batch per ottenere il binario del crittografo, utilizzando anche la compressione 7-Zip.
Una volta estratto il file binario, l’hacker elimina l’archivio ZIP di origine rendendo più complicato il rilevamento delle minacce.
Le azioni principali che consentono di proteggersi dalle minacce
Gli esperti di sicurezza informatica, dopo aver constatato la presenza di questo nuovo tipo di attacco ransomware, hanno fornito agli utenti alcuni suggerimenti per poter evitare che Cactus si diffonda all’interno delle Reti.
Una di questa prevede l’aggiornamento alle ultime versioni dei servizi VPN, oltre a rendere più sicure le password e usare l’autenticazione a due fattori. Inoltre, è buona pratica impostare una strategia di backup per archiviare i dati in un Cloud Storage affidabile e ridondato al fine di renderli sempre disponibili al ripristino.