Вымогательская банда Cactus эффективно использует известные уязвимости Fortinet для проникновения в целевые сети

Новая группировка хакеров Cactus атакует крупные компании с помощью вымогательского вируса-шифровальщика. Она проникает в сети жертв через уязвимости в VPN-оборудовании Fortinet, предварительно шифруя свой файл, чтобы избежать обнаружения. Кибербандиты требуют от своих жертв миллионы долларов за расшифровку данных, а также угрожают слить всё в открытый доступ.

Группировка действует с марта этого года. По словам Лори Яконо из компании Kroll, специализирующейся на корпоративных расследованиях и консалтинге, Cactus получает доступ к сетям жертв, эксплуатируя уязвимости в VPN-устройствах Fortinet.

Что отличает Cactus от других операций, так это использование шифрования для защиты двоичного файла программы-вымогателя. Злоумышленник использует пакетный скрипт для получения двоичного файла шифровальщика с использованием 7-Zip. Исходный ZIP-архив затем удаляется, а двоичный файл развертывается с определенным флагом, который позволяет ему выполняться. Специалисты полагают, что это делается для предотвращения обнаружения шифровальщика-вымогателя.

«CACTUS, по сути, шифрует сам себя, что затрудняет его обнаружение и помогает ему уклоняться от антивирусных и сетевых инструментов», — заявил Яконо.

Исследователи Kroll выделили три режима запуска файла шифровальщика: установка (-s), чтение конфигурации (-r) и шифрование (-i). Для начала процесса шифрования файлов необходимо предоставить уникальный ключ AES, известный только злоумышленникам, используя параметр -i. Этот ключ необходим для расшифровки конфигурационного файла шифровальщика и публичного ключа RSA, необходимого для шифрования файлов. Он доступен в виде HEX-строки, зашифрованной в исполняемом файле шифровальщика.

Запуск файла шифровальщика с правильным ключом для параметра «-i» позволяет вредоносной программе начать поиск файлов и запустить многопоточный процесс шифрования.

Майкл Гиллеспи, эксперт по вымогательским вирусам также проанализировал способ шифрования данных Cactus и сообщил, что вредоносная программа использует несколько разных расширений для целевых файлов в зависимости от стадии их обработки. Например, когда Cactus только готовит определённый файл к шифрованию, он меняет его расширение на «.CTS0». А уже по окончанию шифрования расширение файла становится «.CTS1».

Рассматривая конкретную вредоносную операцию, успешно реализованную хакерами Cactus, исследователи заметили, что после проникновения в целевую сеть злоумышленники использовали SSH-бэкдор для обеспечения постоянного доступа к C2-серверу.

Специалисты Kroll также отметили, что после получения необходимых привилегий на устройстве хакеры запускали специальный скрипт, который удалял наиболее часто используемые антивирусные продукты.

Как и большинство вымогательских программ, Cactus крадёт данные с компьютера жертв перед шифрованием. Для этого вредонос использует инструмент Rclone для передачи файлов в облачное хранилище.

На данный момент нет публичной информации о размерах выкупов, которые Cactus требует от своих жертв. Кроме того, несмотря на то, что хакеры выгружают данные с целевых устройств, специального сайта для утечки данных у них, по-видимому, нет. Но так как злоумышленники угрожает жертвам опубликовать украденные файлы в случае неуплаты, вполне вероятно, хакеры воспользуются для публикации данных популярными даркнет-форумами.

Так как эти киберпреступники использовали уязвимости в VPN-устройствах Fortinet для проникновения в целевые сети, эксперты рекомендуют всем клиентам Fortinet незамедлительно применить последние обновления безопасности от производителя, чтобы не стать одной из следующих жертв Cactus. А мониторинг сети на предмет выгрузки больших объёмов данных и быстрое реагирование должны защитить компании от финальных и самых разрушительных этапов атаки вымогательского вируса.