I ricercatori di Kroll hanno scoperto una nuova famiglia di ransomware chiamata Cactus. Da questa indagine è emerso che il ransomware, ancora poco utilizzato, utilizza nuove tecniche, tra cui la crittografia del suo stesso codice, per ritardare il più possibile il rilevamento all’interno della macchina presa di mira.
Indice degli argomenti
Il ransomware Cactus usa la crittografia per non essere rilevato
“Cactus è stato osservato durante lo sfruttamento delle vulnerabilità documentate nelle appliance VPN Fortinet per ottenere l’accesso iniziale”, ha riferito Kroll.
Il ransomware utilizza un nuovo software di crittografia che richiede una chiave anche per l’implementazione, il che probabilmente gli consente di non essere rilevato fino a quando gli attori della minaccia non implementano l’attacco ransomware.
Tra le tattiche utilizzate dal gruppo criminale, dietro questo software malevolo, si è rilevato che viene aperta una backdoor che utilizza SSH come protocollo di comunicazione verso il server C2 (comando e controllo) in mano agli attori della minaccia. Per completare il set di strumenti utili ai criminali, una volta dentro il sistema e conquistato l’accesso, viene fatto ricorso a strumenti legittimi che possano facilitare i collegamenti da e per il server C2, tra i quali Splashtop, AnyDesk, SuperOps RMM.
Cactus è un nuovo ransomware e finora non è stato utilizzato abbastanza da poter raccogliere metriche relative ai prezzi del riscatto o alle conseguenze del mancato pagamento del riscatto. Tuttavia, i ricercatori di Kroll hanno dichiarato che “al momento della stesura di questo bollettino, Kroll non aveva ancora identificato un ‘sito di esposizione’ o un blog relativo all’identificazione delle vittime creato da Cactus allo scopo di condividere i dati delle vittime se non fosse stato pagato un riscatto”.
In termini di riscatto, al momento non ci sono dati sufficienti per fornire un prezzo medio di partenza. Inoltre, è ancora da vedere cosa accadrebbe se non venisse pagato un riscatto e quanto successo potrebbe avere qualsiasi attore di minacce fornito di tale decryptor.
Altro importante dettaglio su questo malware è la caratteristica di cambiare di continuo l’estensione ai file presi di mira dal processo di crittografia.
Le estensioni utilizzate da Cactus sono infatti molteplici e non cambiano casualmente, ma in base allo stato in cui si trova il processo crittografico intrapreso. In una fase iniziale si assegna ai file l’estensione “CTS0”, poi a crittografia terminata questa diventa “CTS1”.
Inoltre, con l’opzione attiva di esecuzione continua del malware, sono previsti due passaggi crittografici sullo stesso file, e ogni volta verrà accodato un numero differente all’estensione già esistente: “CTS1.CTS3”.
Ridurre al minimo l’esposizione alla minaccia
I ricercatori infine raccomandano di aggiornare tutti i servizi VPN e di implementare gestori di password per ridurre al minimo l’esposizione alle minacce.
Kroll consiglia, inoltre, di utilizzare l’autenticazione a più fattori per impedire il movimento laterale nelle reti infette.
