Kroll risk danışmanlığı ve kurumsal soruşturma firmasındaki Siber Tehdit İstihbaratı ekibi, CACTUS adlı yepyeni bir fidye yazılımı türüne ilişkin bulgularını açıkladı. Bu fidye yazılımı türü, hedeflenen ağlara sızmak için VPN’lerdeki bilinen güvenlik açıklarından yararlanıyor.
Bildirildiğine göre, CACTUS fidye yazılımı operatörleri, şifrelemeden önce hassas verileri çalmak için büyük ölçekli ticari kuruluşları çifte haraçla hedef alıyor.
Kendi Kendini Şifreleyen CACTUS Fidye Yazılımı İşlem Ayrıntıları
Kroll araştırmacılarının değerlendirdiği tüm olaylarda, bilgisayar korsanı bir VPN sunucusu kullandı ve bir VPN hizmet hesabıyla erişim sağladı. Ancak CACTUS, fidye yazılımı ikili dosyasını şifreleme ile koruduğu için diğer işlemlerden farklıdır.
Saldırgan, şifreleyici ikili dosyasını elde etmek için 7-Zip kullanan bir toplu komut dosyası kullanır. Orijinal ZIP arşivini kaldırır ve yürütülecek belirli bir bayrakla ikili dosyayı dağıtır. Bu işlem, CACTUS fidye yazılımı şifreleyicisinin algılanmasını engeller.
Ağ Erişimi İçin Yararlanılan Bilinen VPN Kusurları
Operasyon Mart ayında başlatıldı ve araştırmacılar, saldırganların hedeflerinden büyük ödemeler istediğine inandıkları için finansal olarak motive edildi. CACTUS fidye yazılımı, Fortinet VPN araçlarındaki zaten bilinen açıklardan yararlanarak ağa ilk erişimi elde eder.
Güvenlik açığı bulunan VPN cihazlarını başarıyla kullanır ve ağ taraması yapmak ve şifrelemeye değer cihazların bir listesini tespit etmek için yürütülen bir dizi PowerShell komutunu kullanarak kalıcılığı sürdürmek için bir SSH arka kapısı kurar.
Nasıl Yürütülür?
Her biri belirli bir komut satırı anahtarı kullanılarak seçilen üç yürütme modu vardır.
- Kurulumlar)
- Yapılandırmayı oku (-r)
- Şifreleme (-i)
-S ve -R bağımsız değişkenleri, tehdit aktörlerinin kalıcılığı sürdürmesine ve verileri, -r bağımsız değişkenini çalıştırırken şifreleyicinin okuduğu bir dosyaya (C:\ProgramData\ntuser.dat) kaydetmesine olanak tanır. Şifreleme, yalnızca saldırganların bildiği benzersiz bir AES anahtarı kullanılarak gerçekleştirilir. Bu anahtar, -i komut bağımsız değişkeni kullanılarak elde edilir. Bu anahtar, fidye yazılımının yapılandırma dosyalarının şifresini çözmek için gereklidir. Dosya şifreleme için, şifreleyici ikili dosyasında sabit kodlanmış bir HEX dizisi olarak bulunan genel RSA anahtarı gereklidir.
Ağ Sızmasından Sonra Ne Olur?
CACTUS operatörleri, ağ ve yerel kullanıcı hesaplarını numaralandırır, yeni kullanıcı hesapları oluşturur ve programlanmış görevler aracılığıyla CACTUS fidye yazılımı şifreleyicisinin konuşlandırılmasını/patlatılmasını otomatikleştirmek için özel komut dizilerinden yararlanır.
Araştırmacılar raporlarında, Tor mesajlaşma hizmeti üzerinden hassas veri hırsızlığı ve kurban gaspı gözlemlediler. Ancak, şu ana kadar, oyuncunun herhangi bir veri sızıntısı sitesi keşfetmediler.
Saldırganlar, C2 iletişimi kurmak için Cobalt Strike ve Chisel tünel açma araçlarını kullanır. Güvenlik çözümlerini kaldırabilir/devre dışı bırakabilir ve ayrıcalık yükseltme için web tarayıcılarında ve LASS’ta (yerel güvenlik yetkilisi alt sistem hizmeti) depolanan kimlik bilgilerini çıkarabilirler.
Yanal olarak birden fazla sisteme geçebilir ve istismar edilen ağlarında kalıcılık elde etmek için AnyDesk gibi yasal uzaktan izleme ve yönetim (RMM) araçlarını devreye alabilir, daha önce Black Basta fidye yazılımı operatörleri tarafından kullanılan TotalExec.ps1 komut dosyasıyla fidye yazılımı dağıtabilir ve Rclone aracını kullanarak verileri sızdırabilir. . Tüm enfeksiyon zincirinin tamamlanması 3 ila 5 gün sürer.
Neden KAKTÜS?
CACTUS adı, fidye notunda geçen cAcTuS.readme.txt dosya adından türetilmiştir. Ayrıca, tüm şifrelenmiş dosyalara .cts1 eklenir, ancak Kroll araştırmacıları, uzantının sonundaki bu sayının kurbanlara ve olaylara göre değiştiğini belirtti.
ALAKALI HABERLER
- Kötü Amaçlı Yazılıma Karşı Kontrollerden Kaçınmak İçin Kullanılan Boş Görüntüler
- Yeni fidye yazılımı dosyaları kilitler ve kurbanlardan PUBG oyunu oynamalarını ister
- Yeni fidye yazılımı, fidye notundaki kimlik avı bağlantısıyla PayPal verilerini çalıyor