Siber güvenlik araştırmacıları, hedeflenen ağlara ilk erişimi elde etmek için VPN cihazlarındaki bilinen kusurlardan yararlandığı tespit edilen CACTUS adlı yeni bir fidye yazılımı türüne ışık tuttu.
Kroll bir raporda, “Ağa girdikten sonra, CACTUS aktörleri, yeni kullanıcı hesapları oluşturmadan ve fidye yazılımı şifreleyicisinin dağıtımını ve patlamasını otomatikleştirmek için özel komut dizilerinden yararlanmadan önce erişilebilir uç noktalara ek olarak yerel ve ağ kullanıcı hesaplarını numaralandırmaya çalışır.” The Hacker News ile paylaştı.
Fidye yazılımının Mart 2023’ten bu yana, şifrelemeden önce hassas verileri çalmak için çifte gasp taktikleri kullanan saldırılarla büyük ticari varlıkları hedef aldığı gözlemlendi. Bugüne kadar hiçbir veri sızıntısı yeri tespit edilmedi.
Savunmasız VPN cihazlarının başarılı bir şekilde kullanılmasının ardından, kalıcı erişimi sürdürmek için bir SSH arka kapısı kurulur ve ağ taraması yapmak ve şifreleme için bir makine listesi belirlemek üzere bir dizi PowerShell komutu yürütülür.
CACTUS saldırıları, dosyaları virüslü ana bilgisayarlara göndermek için AnyDesk gibi uzaktan izleme ve yönetim (RMM) yazılımının yanı sıra, komut ve kontrol için Kobalt Strike ve Chisel olarak adlandırılan bir tünel açma aracını da kullanır.
Ayrıca güvenlik çözümlerini devre dışı bırakmak ve kaldırmak, ayrıca ayrıcalıkları artırmak için web tarayıcılarından ve Yerel Güvenlik Yetkilisi Alt Sistem Hizmeti’nden (LSASS) kimlik bilgilerini ayıklamak için adımlar atılır.
Ayrıcalık artışının ardından, yanal hareket, veri hırsızlığı ve fidye yazılımı dağıtımı gelir; bunların sonuncusu, Black Basta tarafından da kullanılmış olan bir PowerShell betiği aracılığıyla gerçekleştirilir.
CACTUS’un yeni bir yönü, fidye yazılımı ikili dosyasını 7-Zip ile ayıklamak için bir toplu komut dosyasının kullanılması ve ardından yükü çalıştırmadan önce .7z arşivinin kaldırılmasıdır.
Kroll’da Siber Riskten Sorumlu Genel Müdür Yardımcısı Laurie Iacono, The Hacker News’e “CACTUS esasen kendi kendini şifreleyerek, tespit edilmesini zorlaştırıyor ve antivirüs ve ağ izleme araçlarından kurtulmasına yardımcı oluyor” dedi.
“CACTUS adı altındaki bu yeni fidye yazılımı varyantı, popüler bir VPN cihazındaki bir güvenlik açığından yararlanarak, tehdit aktörlerinin ilk erişim için uzaktan erişim hizmetlerini ve yama uygulanmamış güvenlik açıklarını hedeflemeye devam ettiğini gösteriyor.”
Gelişme, Trend Micro’nun Rapture olarak bilinen ve Paradise gibi diğer ailelerle bazı benzerlikler taşıyan başka bir fidye yazılımı türüne ışık tutmasından günler sonra geldi.
Şirket, ilk keşfin ardından, daha sonra .NET tabanlı fidye yazılımını düşürmek için kullanılan Cobalt Strike’ın konuşlandırılmasıyla birlikte, “Bulaşma zincirinin tamamı en fazla üç ila beş günü kapsıyor” dedi.
Gerçek Zamanlı Koruma ile Fidye Yazılımını Durdurmayı Öğrenin
Web seminerimize katılın ve gerçek zamanlı MFA ve hizmet hesabı koruması ile fidye yazılımı saldırılarını nasıl durduracağınızı öğrenin.
Koltuğumu Kurtar!
Saldırının halka açık web siteleri ve sunucular aracılığıyla kolaylaştırıldığından şüpheleniliyor, bu da şirketlerin sistemleri güncel tutmak ve en az ayrıcalık ilkesini (PoLP) uygulamak için adımlar atmasını zorunlu kılıyor.
Trend Micro, “Operatörleri hazır bulunan araçları ve kaynakları kullansa da, Rapture’ı daha gizli ve analiz edilmesini daha zor hale getirerek yeteneklerini geliştirecek şekilde kullanmayı başardılar” dedi.
CACTUS ve Rapture, son haftalarda gün ışığına çıkan uzun bir yeni fidye yazılımı aileleri listesine en son eklenenlerdir. gazpromBlackBit, UNIZA, akirave Kadavro Vector adlı bir NoCry fidye yazılımı çeşidi.