Por Heimdall: O ransomware Cactus é uma forma sofisticada de malware que se infiltra nos sistemas das organizações, criptografando dados vitais e exigindo resgates substanciais para sua liberação. Sua disseminação tem sido rápida e eficaz, explorando vulnerabilidades em redes corporativas e sistemas de TI.
O ransomware Cactus emergiu como uma ameaça significativa no cenário de cibersegurança, representando uma séria preocupação para organizações em todo o mundo. Nesse artigo, vamos fornecer uma visão detalhada de sua natureza, impacto potencial e estratégias de mitigação.
Sobre o Ransomware Cactus
O ransomware Cactus teria surgido em meados de março de 2023. O grupo ficou conhecido por explorar vulnerabilidades para obter acesso inicial e manter-se dentro da infraestrutura da organização.
Não se conhecem maiores informações sobre o grupo, exceto que teria surgido na data mencionada e, após a criptografia, um arquivo em formato de texto era criado com o nome ‘cAcTuS.readme.txt‘. Além disso, os arquivos criptografados eram alterados para a extensão ‘.cts1’, e a exfiltração de dados e extorsão das vítimas eram realizadas por meio da utilização do serviço conhecido como Tox.
O ransomware explora especialmente vulnerabilidades em VPNs, utilizando ainda técnicas de ofuscação para ocultar suas atividades, como o uso do UPX e a utilização de algoritmos de criptografia como o OpenSSL, AES OCB, ChaCha20_Poly1305, reinicializações de sistema e outros.
Veja a seguir alguns detalhes das fases de ataques do grupo de ransomware, de acordo com a pesquisa realizada e as evidências encontradas.
Cadeia de ataque do Ransomware Cactus
Acesso Inicial
Para o Acesso Inicial, o grupo de ransomware explora as vulnerabilidades conhecidas em dispositivos VPNs, seguido pela criação de um backdoor SSH que facilita o acesso para o ator e consegue persistir na infraestrutura da organização.
Nessas invasões através de dispositivos VPN vulneráveis, os atores exploraram o uso de contas de serviço VPN e, em seguida, utilizaram o seguinte comando para configurar um servidor SSH a fim de manter o acesso persistente, utilizando tarefas agendadas. A tarefa agendada tem o nome de ‘Updates Check Task’ e é executada a cada 5 minutos, sendo executada como SYSTEM.
Descoberta
Dentro da rede da organização, o ator de ameaça inicia o processo de Descoberta, utilizando o software “SoftPerfect Network Scanner (netscan)” para identificar outros tipos de dispositivos.
Além disso, alguns comandos no PowerShell são executados para enumeração na rede, como a execução de comando para visualizar eventos do Windows com o ID 4624, a fim de identificar contas de usuários, e a realização de pings em outros dispositivos remotos.
A resposta desses comandos é salva em um arquivo de texto na máquina e utilizado posteriormente pelo payload do ransomware para a criptografia.
Outro arquivo que pode ser utilizado pelos atores é conhecido como “PSnmap.ps1“, que seria similar ao NMAP para o PowerShell, e é executado para identificar outros ativos na rede.
Persistência
Em seguida, visando implementar a persistência no ambiente da organização, o ator de ameaça cria vários métodos de acesso remoto. Entre eles, foram identificados o uso de ferramentas legítimas como Splashtop, AnyDesk e SuperOps RMM, juntamente com o uso do Cobalt Strike e Chisel (uma ferramenta de proxy SOCKS5).
A ferramenta Chisel é utilizada para fornecer comunicações ocultas ao C2 do ator de ameaça, através do tunelamento do tráfego por firewalls, permitindo assim o download de scripts e ferramentas adicionais.
Escalação de privilégios
Para obter as credenciais necessárias para execução e movimentação lateral, o ator de ameaça geralmente tenta extrair credenciais dos navegadores da Web dos usuários e busca manualmente no disco por arquivos contendo senhas. O grupo também pode tentar extrair credenciais do LSASS para utilizá-las na escalada de privilégios. Um script em lote (bat) é executado e utilizado para adicionar contas privilegiadas aos terminais remotos.
Após o ator de ameaça conseguir estabelecer o nível de acesso, ele executa um script em lote (bat) que utiliza o msiexec para desinstalar o software antivírus comum por meio do GUID do software.
Movimentação lateral
O movimento lateral foi realizado por contas válidas ou criadas por meio de conexões RDP (Remote Desktop Protocol). Além disso, a ferramenta Super Ops também era utilizada para esse fim.
Execução
Como já identificado em outras operações de ransomware, este grupo também tenta realizar a exfiltração dos dados, visando realizar uma dupla extorsão à vítima. Para essa finalidade, o grupo utilizou a ferramenta Rclone para automatizar a exfiltração dos dados.
Após a exfiltração dos dados, o ator de ameaça utiliza um script previamente identificado em operações do ransomware BlackBasta, conhecido como “TotalExec.ps1”. Esse script utiliza o PsExec para automatizar a implantação do criptografador, neste caso o script f1.bat.
Este script é implantado primeiro para criar uma conta de usuário administrador que, em seguida, adiciona um segundo script chamado f2.bat para ser executado automaticamente no nível da máquina antes de reiniciar o dispositivo. O script f2.bat utiliza a ferramenta 7zip para extrair o binário do ransomware e, em seguida, o executa.
O binário utiliza o mesmo nome do ID da vítima individual para negociações, utilizando uma expressão regular (regex). Além disso, o executável está compactado com UPX e possui 3 modos principais de execução controlados por argumentos de linha de comando.
O argumento “-s” tem o foco em manter a persistência, onde ele se autocopiará para C:\ProgramData\<ID da vítima>.exe. O ransomware então cria um arquivo de configuração codificado em hexadecimal e empacotado com os dados indesejados em C:\ProgramData\ntuser.dat, contendo o caminho para o .exe original.
Após a criação do arquivo, o ransomware cria e executa uma tarefa agendada que executa o comando C:\Program Data\<ID da vítima>.exe -r.
Depois da criptografia, um arquivo de texto referente à nota de resgate é criado no dispositivo da vítima, contendo o seguinte conteúdo:
Campanhas identificadas
Em dezembro de 2023, a Microsoft alertou que os atores por trás do Ransomware Cactus estavam utilizando malvertising como método de infecção de vítimas.
De acordo com a Microsoft, um ator de ameaça conhecido como STORM-0216 teria recebido transferências dos operadores do Qakbot e, devido a isso, começou a utilizar diferentes malwares para obter acesso inicial após a remoção da operação do Qakbot. Uma das campanhas observadas, conhecida como Danabot, estava envolvida na coleta de credenciais de usuários e outras informações, enviando os dados para o C2. Essa atividade, rastreada pela Microsoft, levou o ator de ameaça a utilizar o Ransomware Cactus para criptografar os dados, vinculando o uso do Danabot através da técnica de malvertising.
CVEs exploradas pelo Ransomware Cactus
Foram observadas algumas campanhas utilizadas pelo Ransomware Cactus, como por exemplo a exploração de falhas de segurança da plataforma de análise de nuvem e inteligência de negócios conhecida como Qlik Sense.
A exploração foi identificada pelos pesquisadores da Arctic Wolf, afirmano que provavelmente o grupo estaria explorando as vulnerabilidades:
- CVE-2023-41265, com pontuação de 9,9.
- CVE-2023-41266, com pontuação de 6,5.
- CVE-2023-48365, com pontuação de 9,9.
É valido mencionar que a CVE-2023-48365 é o resultado de um patch incompleto para a CVE-2023-41265, que junto com a CVE-2023-41266, foi divulgado pela Praetorian no final de agosto de 2023.
MITRE ATT&CK – TTPs
| Tática | Técnica | Detalhes |
| Resource Development TA0042 | Malvertising T1538.008 | O ator de ameaça foi identificado pela Microsoft como responsável da campanha do Danabot via malvertising para entrega final do Ransomware Cactus. |
| Initial Access TA0001 | Exploit Public-Facing Application T1190 | O grupo realiza a exploração de vulnerabilidades nas aplicações de VPN |
| Execution TA0002 | Scheduled Task/Job: Scheduled Task T1053.005 | O grupo utiliza o agendamento de tarefas para execução de arquivo para comunicação de C2 e utilização da persistência do payload do Ransomware |
| Discovery TA0007 | System Network Connections Discovery T1049 | Os atores utilizam ferramentas para realizar a varredura dos sistemas da infraestrutura da organização. |
| Discovery TA0007 | Account Discovery: Domain Account T1087.002 | Os atores utilizam scripts para identificar através de log de eventos do Windows contas de domínios de usuários conectados. |
| Discovery TA0007 | Remote System Discovery T1018 | Os atores tentam obteruma lista de outros sistemas, hosts, IPs e qualquer outro identificador para movimentação lateral. |
| Discovery TA0007 | Account Discovery T1087 | Os atores tentam obter uma lista de contas, nomes de usuários e endereços de e-mails válidos para acesso posterior. |
| Command and Control TA0011 | Remote Access Software T1219 | Os atores utilizam a conexão RDP para acesso a outros dispositivos na rede interna. |
| Command and Control TA0011 | Proxy T1090 | Os atores utilizam o proxy de conexão para direcionar o tráfego de rede entre os sistemas visando não serem identificados por soluções de segurança. |
| Defense Evasion TA0005 | Disable or Modify Tools T1562.001 | O grupo utiliza a modificação e desabilitação de ferramentas de seguranças para evitar a possível detecção dos malwares e acessos. |
| Defense Evasion TA0005 | Obfuscated Files or Infomation T1027 | O grupo utiliza técnicas de ofuscação de arquivos baixados para não serem identificados pelas defesas. |
| Defense Evasion TA0005 | Obfuscated Files or Infomation: Software Packing T1027.002 | Os atores utilizam o packing no payload do ransomware visando não ser identificado pelas defesas. |
| Persistence TA0003 | Create Account T1136 | O grupo realiza a criação de conta de serviço/system para lançar o ransomware. |
| Credential Access TA0006 | Credentials from Web Browsers T1555.003 | O grupo realiza a pesquisa de arquivos chaves dos navegadores dos usuários visando localizar senhas armazenadas para prosseguir com o ataque e acessar outras contas. |
| Credential Access TA0006 | OS Credential Dumping T1003.001 | O grupo realiza o dumo de memória do LSASS visando identificar as credenciais. |
| Lateral Movement TA0008 | Remote Services: SSH T1021.004 | O grupo utiliza o acesso inicial para configurar um túnel SSH para o C2. |
| Lateral Movement TA0008 | Remote Desktop Protocol T1021.001 | Os atores do Cactus utilizam contas válidas para realizar o login em dispositivos por meio de RDP. |
| Lateral Movement TA0008 | Lateral Tool Transfer T1570 | Os atores utlizam ferramentas ou outros arquivos entre os sistemas para preparação de arquivos e criptografia dos dados. |
| Execution TA0002 | Software Deployment Tools T1072 | Os atores tentam obter acesso e utilizar conjunto de software de terceiros instalados na rede para se mover lateralmente. |
| Exfiltration TA0010 | Exfiltration to Cloud Storage T1567.002 | Os atores exfiltram os dados para um serviço de armazenamento em nuvem através de ferramenta como Rclone e outros. |
| Impact TA0040 | Data Encrypted for Impact T1486 | Os atores utilziam o payload do ransomware para criptografia dos dados e alteração das extensões. |
Modelo Diamante do Ransomware Cactus
O Modelo Diamante (Model Diamond) é uma abordagem estruturada que visa fornecer uma visão abrangente e integrada das atividades de inteligência tecnológica em uma organização com o foco nos atores de ameaças. Este modelo é útil para ajudar a identificar quais as capacidades e infraestrutura dos adversários/atores de ameaças contra as organizações.
Indicadores de Comprometimento (IoCs)
A ISH Tecnologia realiza o tratamento de diversos indicadores de comprometimento coletados por meio de fontes abertas, fechadas e também de análises realizadas pela equipe de segurança Heimdall. Diante disto, abaixo listamos todos os Indicadores de Comprometimento (IOCs) relacionadas a análise do(s) artefato(s) deste artigo.
Indicadores de URLs, IPs e Domínios
Obs: Os links e endereços IP elencados acima podem estar ativos; cuidado ao realizar a manipulação dos referidos IoCs, evite realizar o clique e se tornar vítima do conteúdo malicioso hospedado no IoC.
Como se proteger
Além dos indicadores de comprometimento elencados acima pela ISH, poderão ser adotadas medidas visando a mitigação da infecção do referido malware, como por exemplo:
- Realize o gerenciamento de patches visando manter seus dispositivos VPNs atualizados.
- Eduque os funcionários sobre as melhores práticas de segurança cibernética.
- Implemente soluções robustas de proteção de endpoints.
- Utilize a Autenticação Multifator para sistemas na organização.
- Faça backups regulares dos seus dados e armazene-os isolados da rede.
- Revise regularmente as contas de usuários de administrador e de serviço.
- Monitore o uso do PowerShell e registre a sua execução.
Referências
- Heimdall by ISH Tecnologia
- Ransomware Cactus estaria explorando vulnerabilidades do Qlik Sense
- Detalhes de ataques da variante do Cactus