شناسایی باج افزار جدید به نام کاکتوس (CACTUS)

کارشناسان امنیتی به‌تازگی کشف کرده‌اند که یک عملیات باج افزار جدید و پیچیده به نام کاکتوس با سوءاستفاده از آسیب‌پذیری‌های VPN، نهادهای تجاری بزرگ را هدف قرار داده است.

قابل‌ذکر است که باج افزار کاکتوس برای جلوگیری از شناسایی توسط نرم‌افزار آنتی‌ویروس، خود را رمزگذاری می‌کند و مبارزه با آن را بسیار دشوار می‌کند.
کارشناسان امنیت سایبری در Kroll، یک شرکت برجسته تحقیقاتی و مشاوره ریسک، کشف کرده‌اند که باج افزار Cactus با سوءاستفاده از نقص‌های امنیتی در دستگاه‌های VPN به شبکه‌های قربانیان خود نفوذ می‌کند. محققان خاطرنشان کردند که هکرها موفق شده‌اند از طریق سرورهای VPN با استفاده از حساب‌های سرویس در معرض خطر، وارد این شبکه‌ها شوند.

عملیات باج افزار کاکتوس حداقل از ماه مارس ۲۰۲۳ فعال بوده و به دنبال پرداخت های کلان از سوی قربانیان خود است.

عملکرد باج افزار کاکتوس

ویژگی منحصربه‌فرد باج افزار کاکتوس در قابلیت خود رمزگذاری آن نهفته است. برای رسیدن به این هدف، اپراتورهای کاکتوس از یک اسکریپت دسته‌ای برای به دست آوردن رمزگذار باینری با کمک ۷-Zip، یک ابزار فشرده‌سازی محبوب، استفاده می‌کنند.

پس از استخراج باینری، آرشیو ZIP اولیه حذف می‌شود و باینری با یک پارامتر خاص اجرا می‌شود که تشخیص تهدید را برای نرم‌افزار آنتی‌ویروس دشوار می‌کند.
این رویکرد غیرمتعارف کارشناسان امنیت سایبری را نگران کرده است، آن‌ها به سازمان‌ها هشدار می‌دهند که برای چنین تهدیدات گریزان در حالت آماده‌باش قرار بگیرند.
بر اساس گزارش BleepingComputer محققان Kroll در مورداجرای اسکریپت توضیح دادند و بیان کردن که عاملان تهدید از سه سوئیچ مختلف برای زمان اجرا استفاده می‌کنند که عبارت‌اند از:

S_ راه‌اندازی
r_ برای بارگذاری یک فایل پیکربندی
I_ برای رمزگذاری

مجرمان پس از نفوذ به شبکه مورد هدف، از ترکیبی از وظایف برنامه‌ریزی‌شده، یک در پشتی SSH برای دستیابی به پایداری، و اجرای چندین عملیات شناسایی (پینگ کردن میزبان‌های راه دور، شمارش نقاط پایانی، شناسایی کاربری) استفاده می‌کنند.
باج افزار Cactus برای آسیب حداکثری، یک اسکریپت دسته‌ای اجرا می‌کند تا نرم‌افزار آنتی‌ویروس را حذف نصب کنند. عاملان تهدید قبل از رمزگذاری فایل‌های در معرض تهدید، آن‌ها را به یک سرور ابری استخراج می‌کنند. و سپس برای رمزگذاری خودکار از یک اسکریپت PowerShell استفاده می‌کنند.

بر اساس گزارش‌ها، عوامل تهدید هنوز یک وب‌سایت اختصاصی برای افشای داده‌های استخراج‌شده ایجاد نکرده‌اند. اما در یادداشت باج آن‌ها به‌صراحت بیان‌شده که در صورت امتناع از پرداخت باید دیه بپردازند.آرگومان‌های -s و -r به عاملان تهدید اجازه می‌دهند که پایداری را تنظیم کنند و داده‌ها را در یک فایل C:\ProgramData\ntuser.dat ذخیره کنند که بعداً هنگام اجرا با آرگومان خط فرمان -r توسط رمزگذار خوانده می‌شود.

برای اینکه رمزگذاری فایل ممکن باشد، یک کلید AES منحصربه‌فرد که فقط برای مهاجمان شناخته‌شده است باید با استفاده از آرگومان خط فرمان -i ارائه شود.این کلید برای رمزگشایی فایل پیکربندی باج افزار و کلید عمومی RSA موردنیاز برای رمزگذاری فایل‌ها ضروری است. این به‌عنوان یک‌رشته HEX با کد سخت در باینری رمزگذار موجود است.

رمزگشایی رشته HEX قطعه‌ای از داده‌های رمزگذاری شده را فراهم می‌کند که با کلید AES باز می‌شود.

Laurie Iacono، مدیرعامل ریسک سایبری در Kroll، به Bleeping Computer گفت: «CACTUS اساساً خودش را رمزگذاری می‌کند و تشخیص آن را سخت‌تر می‌کند و به آن کمک می‌کند تا از آنتی‌ویروس‌ها و ابزارهای نظارت بر شبکه فرار کند».اجرای باینری با کلید صحیح برای پارامتر -i (رمزگذاری) قفل اطلاعات را باز می‌کند و به بدافزار اجازه می‌دهد تا فایل‌ها را جستجو کند و یک فرآیند رمزگذاری چند رشته‌ای را شروع کند.

محققان کرول نمودار زیر را برای توضیح بهتر فرآیند اجرای باینری کاکتوس مطابق با پارامتر انتخاب‌شده ارائه کردند.

جریان اجرای دودویی باج افزار کاکتوس

مایکل گیلسپی، کارشناس باج افزار، همچنین نحوه رمزگذاری داده‌های کاکتوس را تجزیه‌وتحلیل کرد و به BleepingComputer گفت که این بدافزار از پسوندهای متعددی برای فایل‌هایی که هدف قرار می‌دهد، بسته به وضعیت پردازش، استفاده می‌کند.

هنگام آماده‌سازی فایل برای رمزگذاری، کاکتوس پسوند آن را به.CTS0 تغییر می‌دهد. پس از رمزگذاری، پسوند CTS1. می‌شود.

بااین‌حال، گیلسپی توضیح داد که کاکتوس همچنین می‌تواند یک “حالت سریع” داشته باشد که شبیه به یک رمزگذاری سبک است. اجرای بدافزار در حالت سریع و عادی به‌طور متوالی منجر به رمزگذاری یک فایل دو بار و اضافه کردن یک پسوند جدید پس از هر فرآیند می‌شود (به‌عنوان‌مثال.CTS1.CTS7).
کرول مشاهده کرد که تعداد در انتهای پسوند.CTS در چندین رویداد منتسب به باج افزار کاکتوس متفاوت است.

باج افزارهای TTP کاکتوس

هنگامی‌که عامل تهدید وارد شبکه شد، از یک وظیفه برنامه‌ریزی‌شده برای دسترسی مداوم با استفاده از درب پشتی SSH قابل‌دسترسی از سرور فرمان و کنترل (C2) استفاده کرد.
به گفته محققان Kroll، کاکتوس برای جستجوی اهداف جالب در شبکه به SoftPerfect Network Scanner (netscan) اعتماد کرده است.
برای شناسایی عمیق‌تر، مهاجم از دستورات PowerShell برای شمارش نقاط پایانی، شناسایی حساب‌های کاربری با مشاهده لاگین‌های موفق در Windows Event Viewer و پینگ کردن میزبان‌های راه دور استفاده کرد.

محققان همچنین دریافتند که باج افزار کاکتوس از یک نوع تغییریافته از ابزار منبع باز PSnmap استفاده می‌کند که معادل PowerShell اسکنر شبکه nmap است.
برای راه‌اندازی ابزارهای مختلف موردنیاز برای حمله، محققان می‌گویند که باج افزار Cactus چندین روش دسترسی از راه دور را از طریق ابزارهای قانونی (مانند Splashtop، AnyDesk، SuperOps RMM) همراه با Cobalt Strike و ابزار پروکسی مبتنی بر Go امتحان می‌کند.

محققین کرول می‌گویند که پس از افزایش امتیازات روی یک ماشین، اپراتورهای کاکتوس یک اسکریپت دسته‌ای را اجرا می‌کنند که رایج‌ترین محصولات آنتی‌ویروس مورداستفاده را حذف نصب می‌کند.
مانند اکثر عملیات‌های باج افزار، کاکتوس نیز داده‌ها را از قربانی سرقت می‌کند. برای این فرآیند، عامل تهدید از ابزار Rclone برای انتقال مستقیم فایل‌ها به فضای ذخیره‌سازی ابری استفاده می‌کند.

پس از استخراج داده‌ها، هکرها از یک اسکریپت PowerShell به نام TotalExec که اغلب در حملات باج افزار BlackBasta دیده می‌شود، برای خودکارسازی فرآیند رمزگذاری استفاده کردند.
Gillespie به ما گفت که روال رمزگذاری در حملات باج افزار کاکتوس منحصربه‌فرد است. باوجوداین، به نظر نمی‌رسد که این روش برای کاکتوس خاص باشد، زیرا اخیراً گروه باج افزار BlackBasta نیز فرآیند رمزگذاری مشابهی را اتخاذ کرده است.

تاکتیک‌ها، تکنیک‌ها و روش‌های باج افزار کاکتوس

در حال حاضر هیچ اطلاعات عمومی در مورد باج‌هایی که کاکتوس از قربانیان خود می‌خواهد وجود ندارد، اما BleepingComputer توسط یک منبع گفته‌شده است که آن‌ها میلیون‌ها نفر هستند.
حتی اگر هکرها داده‌های قربانیان را سرقت کنند، به نظر می‌رسد که آن‌ها سایتی را مانند سایر عملیات باج افزاری که در اخاذی مضاعف دخیل هستند، راه‌اندازی نکرده‌اند.

بااین‌حال، عاملان تهدید قربانیان را به انتشار فایل‌های دزدیده‌شده تهدید می‌کند مگر اینکه پولی دریافت کنند. در یادداشت باج به‌صراحت آمده است:
یادداشت باج کاکتوس با انتشار اطلاعات سرقت شده تهدید می‌شود
جزئیات گسترده‌ای در مورد عملیات کاکتوس، قربانیانی که آن‌ها را هدف قرار می‌دهند و اگر هکرها به قول خود عمل کنند و در صورت پرداخت یک رمزگشای قابل‌اعتماد ارائه کنند، در حال حاضر در دسترس نیست.

آنچه واضح است این است که حملات هکرها تاکنون احتمالاً آسیب‌پذیری‌های دستگاه VPN Fortinet را تحت تأثیر قرار داده و با سرقت داده‌ها قبل از رمزگذاری، از رویکرد استاندارد اخاذی مضاعف پیروی می‌کند.استفاده از آخرین به‌روزرسانی‌های نرم‌افزاری از سوی فروشنده، نظارت بر شبکه برای کارهای استخراج داده‌های بزرگ، و پاسخ سریع باید از آخرین و مخرب‌ترین مراحل حمله باج افزار محافظت کند.