I ricercatori di Kroll hanno scoperto un nuovo ransomware, denominato Cactus, che sfrutta le vulnerabilità delle appliance Fortinet VPN per accedere alle reti aziendali. I primi attacchi sono stati individuati nel mese di marzo. La tecnica è sempre quella della doppia estorsione, ma i cybercriminali hanno implementato una soluzione innovativa per evitare la rilevazione da parte degli antivirus.
Cactus: ransomware cifrato
L’intrusione nelle reti aziendali avviene tramite un account del servizio VPN di Fortinet, ottenuto sfruttando vulnerabilità delle appliance. Per proteggere l’eseguibile del ransomware viene utilizzata la crittografia AES. I cybercriminali hanno implementato tre modalità di esecuzione in base all’argomento del comando: -s
(setup), -r
(read) e -i
(encryption).
Gli argomenti -s
e -r
consentono di stabilire la persistenza e memorizzare i dati nel file C:\ProgramData\ntuser.dat
. Usando una chiave AES insieme all’argomento -i
viene decifrato il file di configurazione che contiene i file da cercare e cifrare con una chiave RSA.
Cactus usa diversi tool durante l’attacco, tra cui una backdoor SSH per l’accesso remoto, scanner di rete e comandi PowerShell per trovare gli endpoint. Dopo aver ottenuto privilegi elevati, il malware avvia diversi script per individuare e rimuovere gli antivirus.
Il furto dei dati e l’invio al cloud viene effettuato con il tool Rclone, mentre la cifratura viene avviata con lo script TotalExec. Al termine viene mostrato un file di testo con le istruzioni da seguire per contattare i cybercriminali e negoziare il riscatto.