09 mai 2023Ravie LakshmananSécurité des terminaux / Ransomware

Les chercheurs en cybersécurité ont mis en lumière une nouvelle souche de rançongiciel appelée CACTUS, qui exploite les failles connues des appliances VPN pour obtenir un accès initial aux réseaux ciblés.

« Une fois à l’intérieur du réseau, les acteurs de CACTUS tentent d’énumérer les comptes d’utilisateurs locaux et réseau en plus des points de terminaison accessibles avant de créer de nouveaux comptes d’utilisateurs et d’exploiter des scripts personnalisés pour automatiser le déploiement et la détonation du chiffreur de ransomware via des tâches planifiées », a déclaré Kroll dans un rapport. partagé avec The Hacker News.

Le ransomware a été observé ciblant de grandes entités commerciales depuis mars 2023, avec des attaques utilisant des tactiques de double extorsion pour voler des données sensibles avant le chiffrement. Aucun site de fuite de données n’a été identifié à ce jour.

Suite à une exploitation réussie des périphériques VPN vulnérables, une porte dérobée SSH est configurée pour maintenir un accès persistant et une série de commandes PowerShell sont exécutées pour effectuer une analyse du réseau et identifier une liste de machines à chiffrer.

Les attaques CACTUS utilisent également Frappe de cobalt et un outil de tunnelisation appelé Ciseau pour la commande et le contrôle, aux côtés d’un logiciel de surveillance et de gestion à distance (RMM) comme AnyDesk pour envoyer des fichiers aux hôtes infectés.

Des mesures sont également prises pour désactiver et désinstaller les solutions de sécurité, ainsi que pour extraire les informations d’identification des navigateurs Web et du service de sous-système de l’autorité de sécurité locale (LSASS) pour augmenter les privilèges.

L’escalade de privilèges est suivie d’un mouvement latéral, d’une exfiltration de données et d’un déploiement de rançongiciels, le dernier étant réalisé au moyen d’un Script PowerShell qui a également été utilisé par Basta noir.

Un nouvel aspect de CACTUS est l’utilisation d’un script batch pour extraire le binaire du ransomware avec 7-Zip, suivi de la suppression de l’archive .7z avant d’exécuter la charge utile.

« CACTUS se crypte essentiellement, ce qui le rend plus difficile à détecter et l’aide à échapper aux antivirus et aux outils de surveillance du réseau », a déclaré Laurie Iacono, directrice générale associée du cyber-risque chez Kroll, à The Hacker News.

« Cette nouvelle variante de ransomware sous le nom de CACTUS exploite une vulnérabilité dans un appareil VPN populaire, montrant que les acteurs de la menace continuent de cibler les services d’accès à distance et les vulnérabilités non corrigées pour l’accès initial. »

Le développement intervient quelques jours après que Trend Micro a fait la lumière sur un autre type de ransomware connu sous le nom de Rapture qui présente certaines similitudes avec d’autres familles telles que Paradis.

« L’ensemble de la chaîne d’infection s’étend sur trois à cinq jours au maximum », a déclaré l’entreprise. a ditavec la reconnaissance initiale suivie du déploiement de Cobalt Strike, qui est ensuite utilisé pour supprimer le ransomware basé sur .NET.

L’intrusion est soupçonnée d’être facilitée par des sites Web et des serveurs vulnérables destinés au public, ce qui oblige les entreprises à prendre des mesures pour maintenir les systèmes à jour et appliquer le principe du moindre privilège (PoLP).

« Bien que ses opérateurs utilisent des outils et des ressources facilement disponibles, ils ont réussi à les utiliser d’une manière qui améliore les capacités de Rapture en le rendant plus furtif et plus difficile à analyser », a déclaré Trend Micro.

CACTUS et Rapture sont les derniers ajouts à une longue liste de nouvelles familles de ransomwares qui ont été découvertes ces dernières semaines, notamment Gazprom, Bit noir, UNIZA, Akiraet une variante du rançongiciel NoCry appelée Vecteur Kadavro.