Une nouvelle opération de ransomware appelée Cactus exploite les vulnérabilités des appliances VPN pour un accès initial aux réseaux de « grandes entités commerciales ».

L’opération de rançongiciel Cactus est active depuis au moins mars et recherche de gros paiements de la part de ses victimes.

Alors que le nouvel acteur de la menace a adopté les tactiques habituelles observées dans les attaques de ransomware – cryptage de fichiers et vol de données – il a ajouté sa propre touche pour éviter la détection.

Torsion de configuration cryptée
Les chercheurs de la société d’investigation et de conseil en gestion des risques Kroll pensent que Cactus obtient un accès initial au réseau de la victime en exploitant les vulnérabilités connues des appliances Fortinet VPN.

L’évaluation est basée sur l’observation que dans tous les incidents étudiés, le pirate a pivoté à l’intérieur d’un serveur VPN avec un compte de service VPN.

Ce qui distingue Cactus des autres opérations, c’est l’utilisation du cryptage pour protéger le binaire du ransomware. L’acteur utilise un script batch pour obtenir le binaire du chiffreur à l’aide de 7-Zip.

L’archive ZIP d’origine est supprimée et le binaire est déployé avec un indicateur spécifique qui lui permet de s’exécuter. L’ensemble du processus est inhabituel et les chercheurs pensent qu’il s’agit d’empêcher la détection du crypteur de ransomware.

Dans un rapport technique, les enquêteurs de Kroll expliquent qu’il existe trois principaux modes d’exécution, chacun sélectionné à l’aide d’un commutateur de ligne de commande spécifique : configuration (-s), lecture de la configuration (-r) et chiffrement (-i).

Les arguments -s et -r permettent aux acteurs de la menace de configurer la persistance et de stocker les données dans un fichier C:\ProgramData\ntuser.dat qui est ensuite lu par le chiffreur lors de l’exécution avec l’argument de ligne de commande -r.

Cependant, pour que le chiffrement du fichier soit possible, une clé AES unique connue uniquement des attaquants doit être fournie à l’aide de l’argument de ligne de commande -i.

Cette clé est nécessaire pour déchiffrer le fichier de configuration du rançongiciel et la clé publique RSA nécessaire pour chiffrer les fichiers. Il est disponible sous forme de chaîne HEX codée en dur dans le binaire du chiffreur.

Le décodage de la chaîne HEX fournit une donnée cryptée qui se déverrouille avec la clé AES.

« CACTUS se crypte essentiellement, ce qui le rend plus difficile à détecter et l’aide à échapper aux antivirus et aux outils de surveillance du réseau », a déclaré Laurie Iacono, directrice générale associée pour Cyber Risk chez Kroll, à breachtrace.

L’exécution du binaire avec la clé correcte pour le paramètre -i (cryptage) déverrouille les informations et permet au logiciel malveillant de rechercher des fichiers et de démarrer un processus de cryptage multithread.

Les chercheurs de Kroll ont fourni le diagramme ci-dessous pour mieux expliquer le processus d’exécution binaire de Cactus selon le paramètre sélectionné.

L’expert en ransomware Michael Gillespie a également analysé la façon dont Cactus crypte les données et a déclaré à Breachtrace que le malware utilise plusieurs extensions pour les fichiers qu’il cible, en fonction de l’état de traitement.

Lors de la préparation d’un fichier pour le cryptage, Cactus change son extension en .CTS0. Après chiffrement, l’extension devient .CTS1.

Cependant, Gillespie a expliqué que Cactus peut également disposer d’un « mode rapide », qui s’apparente à une passe de cryptage léger. L’exécution consécutive du logiciel malveillant en mode rapide et normal entraîne le chiffrement du même fichier deux fois et l’ajout d’une nouvelle extension après chaque processus (par exemple, .CTS1.CTS7).

Kroll a observé que le nombre à la fin de l’extension .CTS variait dans plusieurs incidents attribués au rançongiciel Cactus.

TTP du rançongiciel Cactus
Une fois dans le réseau, l’auteur de la menace a utilisé une tâche planifiée pour un accès persistant à l’aide d’une porte dérobée SSH accessible depuis le serveur de commande et de contrôle (C2).

Selon les enquêteurs de Kroll, Cactus s’est appuyé sur SoftPerfect Network Scanner (netscan) pour rechercher des cibles intéressantes sur le réseau.

Pour une reconnaissance plus approfondie, l’attaquant a utilisé des commandes PowerShell pour énumérer les points de terminaison, identifier les comptes d’utilisateurs en affichant les connexions réussies dans l’Observateur d’événements Windows et envoyer un ping aux hôtes distants.

Les chercheurs ont également découvert que le rançongiciel Cactus utilisait une variante modifiée de l’outil open source PSnmap, qui est un équivalent PowerShell du scanner de réseau nmap.

Pour lancer divers outils nécessaires à l’attaque, les enquêteurs affirment que le rançongiciel Cactus essaie plusieurs méthodes d’accès à distance via des outils légitimes (par exemple, Splashtop, AnyDesk, SuperOps RMM) ainsi que Cobalt Strike et l’outil proxy basé sur Go Chisel.

Les enquêteurs de Kroll affirment qu’après avoir augmenté les privilèges sur une machine, les opérateurs de Cactus exécutent un script batch qui désinstalle les produits antivirus les plus couramment utilisés.

Comme la plupart des opérations de ransomware, Cactus vole également des données à la victime. Pour ce processus, l’auteur de la menace utilise l’outil Rclone pour transférer des fichiers directement vers le stockage en nuage.

Après avoir exfiltré les données, les pirates ont utilisé un script PowerShell appelé TotalExec, souvent vu dans les attaques de ransomware BlackBasta, pour automatiser le déploiement du processus de chiffrement.

Gillespie nous a dit que la routine de cryptage dans les attaques de rançongiciels Cactus est unique. Malgré cela, cela ne semble pas être particulier à Cactus car un processus de cryptage similaire a également été adopté récemment par le gang de rançongiciels BlackBasta.

Pour le moment, il n’y a aucune information publique sur les rançons que Cactus demande à ses victimes, mais Breachtrace a été informé par une source qu’elles se comptent par millions.

Même si les pirates volent les données des victimes, il semble qu’ils n’aient pas mis en place un site de fuite comme les autres opérations de ransomware impliquées dans la double extorsion.

Cependant, l’auteur de la menace menace les victimes de publier les fichiers volés à moins qu’elles ne soient payées. Ceci est explicite dans la note de rançon :

De nombreux détails sur l’opération Cactus, les victimes qu’ils ciblent et si les pirates tiennent parole et fournissent un décrypteur fiable s’ils sont payés, ne sont pas disponibles pour le moment.

Ce qui est clair, c’est que les incursions des pirates jusqu’à présent ont probablement exploité les vulnérabilités de l’appliance Fortinet VPN et suivent l’approche standard de double extorsion en volant des données avant de les chiffrer.

L’application des dernières mises à jour logicielles du fournisseur, la surveillance du réseau pour les tâches d’exfiltration de données volumineuses et la réponse rapide devraient protéger des étapes finales et les plus dommageables d’une attaque de ransomware.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *