Истражувачите од фирмата за корпоративна истрага и консултантски ризици Kroll открија нова, софистицирана кампања за ransomware наречена Cactus.
Станува збор за насочени напади врз големи комерцијални субјекти кои се вршат со искористување на пропусти во популарните VPN уреди, благодарение на што напаѓачите добиваат првичен пристап до мрежите на жртвите.
Операцијата за откуп (ransomware) Cactus најверојатно започна во март. Жртвите се уценети да плаќаат големи суми пари за откуп.
Напаѓачите користат тактики вообичаени во ransomware нападите – шифрирање и кражба на датотеки. Но, она што ги издвојува од другите е новата тактика што ја користат за да избегнат откривање – Cactus ransomware се шифрира себеси за да не го открие антивирусниот софтвер, што значително ја отежнува борбата против него.
Експертите за сајбер безбедност во Kroll открија дека ransomware-от Cactus се инфилтрира во мрежите на своите жртви искористувајќи ги безбедносните пропусти во VPN уредите. Истражувачите забележаа дека хакерите можеле да пристапат до овие мрежи преку VPN сервери користејќи компромитирани VPN сметки.
Уникатната карактеристика на Cactus ransomware лежи во неговата способност за само-шифрирање. За да го постигнат ова, напаѓачите користат скрипта за преземање на енкодерот со помош на 7-Zip, популарна алатка за компресија.
Овој неконвенционален пристап ги вознемири експертите за сајбер безбедност, кои предупредуваат дека организациите треба да бидат на штрек за такви неостварливи закани.
За да се максимизира штетата, Cactus ransomware покренува скрипта што ги деинсталира најчесто користените антивирусни програми. Пред да се шифрираат датотеките на компромитирани машини, податоците се ексфилтрираат на облак сервер и потоа се започнува процесот на шифрирање.
Cactus користи повеќе екстензии за шифрирани датотеки. Кога подготвува датотека за шифрирање, Cactus ја менува својата екстензија во .CTS0, а по шифрирањето во .CTS1.
Оние кои стојат зад оваа кампања сè уште не создале посебна веб-страница за објавување на украдените податоци, како што најчесто прават слични групи за да извршат дополнителен притисок врз жртвите кои одбиваат да платат. Сепак, нивната порака за откуп експлицитно споменува ослободување на украдени документи доколку жртвите одбијат да го платат откупот. Засега нема детали за тоа дали хакерите го одржуваат зборот и го обезбедуваат декрипторот на жртвите кои плаќаат.