Investigadores de la firma de ciberseguridad Kroll descubrieron una nueva cepa de ransomware llamada CACTUS, que accede mediante fallas conocidas en los dispositivos VPN (Red Privada Virtual) para alcanzar a redes objetivo. En esta nueva cepa, una vez que los ciberdelincuentes se infiltran en la red, enumeran usuarios locales y de la red misma, utilizando una tarea programada para mantener la persistencia mediante backdoor SSH, que es una puerta trasera que permite el acceso no autorizado a través del protocolo SSH (Secure Shell), que otorga a los usuarios la capacidad de conectarse y controlar un sistema de forma remota y segura. Luego de esto, realiza un escaneo de red para identificar una lista de máquinas para el cifrado.
Según los especialistas, los ciberdelincuentes utilizan herramientas legítimas como Cobalt Strike (herramienta de seguridad para pruebas de penetración), y una herramienta de tunelización conocida como Chisel (para comando y control), junto con el software de administración y monitoreo remoto (RMM) AnyDesk, para enviar archivos a los hosts infectados. Además, utilizan un script por lotes para desinstalar las soluciones de antivirus de la máquina y, de esa manera, extraer credenciales de navegadores web y el servicio de subsistema de autoridad de seguridad local (LSASS) para escalar privilegios. Con esta última función, le sigue el movimiento lateral y el despliegue del ransomware mediante un script de PowerShell, que tiene la particularidad de encriptarse a sí mismo, lo que agrega más dificultad de detección por sobre las mencionadas anteriormente.
En base la información que hay hasta el momento sobre este ataque, la intrusión se facilita a través de servidores y sitios web públicos vulnerables, agregando que, hasta el momento no está claro si el descifrador proporcionado por los operadores del ransomware a las víctimas que han pagado el rescate es confiable, motivo por el cual se aconseja a las empresas que tomen medidas urgentes para mantener los sistemas actualizados y hacer cumplir el principio de privilegio mínimo (PoLP).
CACTUS es una de las ultimas cepas incorporadas dentro de una amplia lista de ransomware que salieron a la luz en los últimos tiempos, junto a otras conocidas como Rapture, Gazprom , BlackBit , UNIZA , Akira y una variante de ransomware NoCry llamada Kadavro Vector.
Fuente
https://thehackernews.com/2023/05/new-ransomware-strain-cactus-exploits.html?m=1
Nuevo ransomware CACTUS explota vulnerabilidades en dispositivos VPN para infectar redes
Ciberprisma - alianza por la ciberseguridad 