Son siber güvenlik haberlerinde, yeni bir CACTUS siber saldırısı, karanlık web portföylerine eklenen iki kurbanın daha olduğunu bildirdi. Bu kez CACTUS fidye yazılımı grubunun hedef aldığı kuruluşlar Astro Lighting ve Orthum Bau’dur.
Bu saldırıların ardındaki sebep gizemini koruyor ve fark edilebilir bir hacktivist gündem yok. Ancak iddia edilen CACTUS siber saldırısına rağmen her iki şirket de siber saldırının herhangi bir görünür işareti olmadan faaliyet gösteriyor gibi görünüyor.
CACTUS siber saldırısı iddiaları: Eski taktiklere sahip yeni bir oyuncu!
CACTUS fidye yazılımı grubu, son birkaç ayda arkasında bir dizi saldırı bırakan önde gelen bir tehdit aktörü oldu.
Daha önce The Cyber Express, dünya çapında farklı sektör ve bölgelere yayılan beş yüksek profilli kurbanı hedef aldıklarında faaliyetleri hakkında rapor vermişti.
Etkilenen kuruluşlar arasında Seymours, Groupe Promotrans, MINEMAN Systems, Maxxd Trailers ve Marfrig Global Foods yer aldı.
CACTUS fidye yazılımı grubu Mart 2023’ten bu yana ağlara sızmak için çok yönlü bir yaklaşım kullanıyor.
İlk erişimleri genellikle VPN cihazlarındaki belgelenmiş güvenlik açıklarından yararlanır. Tehdit aktörleri içeri girdikten sonra yerel ve ağ kullanıcı hesaplarını titizlikle sıralıyor ve ulaşılabilir uç noktaları belirliyor.
Fidye yazılımı şifre çözücünün planlanmış görevler yoluyla konuşlandırılmasını ve patlatılmasını otomatikleştiren özel komut dosyaları devreye girer.
The Cyber Express, iddia edilen CACTUS siber saldırısının gerçekliğini doğrulamak için etkilenen her iki şirkete de ulaştı. Ancak şu ana kadar herhangi bir resmi açıklama veya yanıt gelmediği için iddialar doğrulanamadı.
CACTUS fidye yazılımı grubunun benzersiz şifreleme teknikleri
CACTUS’un fidye yazılımı şifreleyicisinin öne çıkan özelliklerinden biri de yeni yürütme yöntemidir. Bir şifre çözme anahtarı gerektirir; bu, muhtemelen anti-virüs yazılımı tarafından tespit edilmekten kaçınmak için uygulanan bir güvenlik önlemidir.
Bu anahtar, rastgele metin içeren ve zamanlanmış bir görev aracılığıyla yüklenen ntuser.dat adlı bir dosyanın içinde gizlenir. CACTUS fidye yazılımı grubu, saldırılarını gerçekleştirmek için çeşitli taktikler, teknikler ve prosedürler (TTP’ler) kullanır.
Buna, güvenlik önlemlerini atlamak ve fidye yazılımı ikili dosyasını dağıtmak için Chisel, Rclone, TotalExec, Zamanlanmış Görevler ve özel komut dosyaları gibi araçlardan yararlanma da dahildir. Özellikle, Zamanlanmış Görevler aracılığıyla kalıcı yürütme için bir AES anahtarını iletmek üzere C:\ProgramData içindeki ntuser.dat adlı bir dosyayı kullandıkları gözlemlenmiştir.
Mayıs 2023’te CACTUS’un, hedeflenen ağlara ilk erişim elde etmek için VPN cihazlarındaki bilinen güvenlik açıklarından yararlandığı ortaya çıktı. Bu yöntem, kalıcı erişim için bir SSH arka kapısı kurmayı ve ağ taraması için PowerShell komutlarını çalıştırmayı içerir.
Sistematik bir adımlar dizisi, CACTUS siber saldırısını karakterize eder. AnyDesk gibi uzaktan izleme ve yönetim (RMM) yazılımının yanı sıra komuta ve kontrol için Cobalt Strike ve Chisel gibi araçları kullanıyorlar. Taktikleri arasında güvenlik çözümlerinin devre dışı bırakılması, kimlik bilgilerinin çıkarılması ve ayrıcalıkların yükseltilmesi, bunun sonucunda veri hırsızlığı ve fidye yazılımı dağıtımı yer alıyor.
Cyber Express bu hikayedeki gelişmeleri yakından takip ediyor. Bu siber saldırı hakkında daha fazla bilgi ortaya çıkar çıkmaz veya etkilenen kuruluşlardan herhangi bir resmi açıklama veya yanıt alınır alınmaz güncellemeler sağlanacaktır.
Medya Yasal Uyarısı: Bu rapor, çeşitli yollarla elde edilen iç ve dış araştırmalara dayanmaktadır. Sağlanan bilgiler yalnızca referans amaçlıdır ve bu bilgilere güvenme konusunda tüm sorumluluk kullanıcılara aittir. Cyber Express bu bilgilerin kullanılmasının doğruluğu veya sonuçları konusunda hiçbir sorumluluk kabul etmez.