Le nouveau ransomware Cactus se crypte lui-même pour échapper aux antivirus

Une nouvelle opération de ransomware appelée Cactus exploite les vulnérabilités des appareils VPN pour obtenir un accès initial aux réseaux de “grandes entités commerciales”.

Le ransomware Cactus est actif depuis au moins le mois de mars et cherche à obtenir des paiements importants de la part de ses victimes.

Si le nouvel acteur de la menace a adopté les tactiques habituelles des attaques par ransomware – cryptage de fichiers et vol de données – il y a ajouté sa propre touche pour éviter d’être détecté.

Configuration chiffrée

Les chercheurs de la société Kroll, spécialisée dans les enquêtes sur les entreprises et le conseil en matière de risques, pensent que Cactus obtient un accès initial au réseau de la victime en exploitant des vulnérabilités connues dans les appliances VPN de Fortinet.

L’évaluation est basée sur l’observation que dans tous les incidents étudiés, le pirate a pivoté à l’intérieur à partir d’un serveur VPN avec un compte de service VPN.

Ce qui distingue Cactus des autres opérations est l’utilisation du chiffrement pour protéger le binaire du ransomware. L’acteur utilise un script batch pour obtenir le binaire de chiffrement à l’aide de 7-Zip.

L’archive ZIP d’origine est supprimée et le binaire est déployé avec un drapeau spécifique qui lui permet de s’exécuter. L’ensemble du processus est inhabituel et les chercheurs pensent qu’il s’agit d’empêcher la détection de l’encrypteur du ransomware.

Dans un rapport technique, les enquêteurs de Kroll expliquent qu’il existe trois modes d’exécution principaux, chacun étant sélectionné à l’aide d’un commutateur de ligne de commande spécifique : setup (-s), lire la configuration (-r), et le cryptage (-i).

Le -s et -r permettent aux acteurs de la menace de configurer la persistance et de stocker les données dans un fichier de type C:\NProgramData\Ntuser.dat qui est ensuite lu par le crypteur lorsqu’il est exécuté avec l’option -r argument de ligne de commande.

Pour que le cryptage des fichiers soit possible, une clé AES unique, connue uniquement des attaquants, doit être fournie à l’aide de l’argument de commande -i argument de ligne de commande.

Cette clé est nécessaire pour déchiffrer le fichier de configuration du ransomware et la clé RSA publique nécessaire pour chiffrer les fichiers. Elle est disponible sous la forme d’une chaîne HEX codée en dur dans le binaire de l’encrypteur.

Le décodage de la chaîne HEX fournit un morceau de données cryptées qui se déverrouille avec la clé AES.

“CACTUS se crypte lui-même, ce qui le rend plus difficile à détecter et lui permet d’échapper aux antivirus et aux outils de surveillance du réseau”, a déclaré Laurie Iacono, directeur général associé pour les risques cybernétiques chez Kroll, à Bleeping Computer.

L’exécution du binaire avec la bonne clé pour le fichier -i (chiffrement) déverrouille les informations et permet au logiciel malveillant de rechercher des fichiers et de lancer un processus de chiffrement multithread.

Les chercheurs de Kroll ont fourni le diagramme ci-dessous pour mieux expliquer le processus d’exécution binaire de Cactus en fonction du paramètre sélectionné.

Expert en ransomware Michael Gillespie a également analysé la manière dont Cactus chiffre les données et a déclaré à BleepingComputer que le logiciel malveillant utilise plusieurs extensions pour les fichiers qu’il cible, en fonction de l’état de traitement.

Lorsqu’il prépare un fichier pour le chiffrement, Cactus change son extension en .CTS0. Après le cryptage, l’extension devient .CTS1.

Cependant, M. Gillespie a expliqué que Cactus peut également disposer d’un “mode rapide”, qui s’apparente à une passe de chiffrement légère. L’exécution consécutive du logiciel malveillant en mode rapide et en mode normal entraîne le chiffrement du même fichier à deux reprises et l’ajout d’une nouvelle extension après chaque processus (par exemple, .CTS1.CTS7).

Kroll a observé que le nombre à la fin de l’extension .CTS variait dans de nombreux incidents attribués au ransomware Cactus.

TTP du ransomware Cactus

Une fois dans le réseau, l’acteur de la menace a utilisé une tâche planifiée pour obtenir un accès persistant à l’aide d’une porte dérobée SSH accessible depuis le serveur de commande et de contrôle (C2).

Selon les enquêteurs de Kroll, Cactus s’est appuyé sur SoftPerfect Network Scanner (netscan) pour rechercher des cibles intéressantes sur le réseau.

Pour une reconnaissance plus approfondie, l’attaquant a utilisé des commandes PowerShell pour énumérer les points de terminaison, identifier les comptes d’utilisateurs en visualisant les connexions réussies dans Windows Event Viewer, et envoyer des ping aux hôtes distants.

Les chercheurs ont également découvert que le ransomware Cactus utilisait une variante modifiée de l’outil open-source PSnmap, qui est un équivalent PowerShell de la commande nmap scanner réseau.

Pour lancer les divers outils nécessaires à l’attaque, les enquêteurs affirment que le ransomware Cactus essaie plusieurs méthodes d’accès à distance par le biais d’outils légitimes (par exemple Splashtop, AnyDesk, SuperOps RMM) ainsi que Cobalt Strike et l’outil de proxy basé sur Go, Chisel.

Les enquêteurs de Kroll affirment qu’après avoir escaladé les privilèges sur une machine, les opérateurs de Cactus exécutent un script batch qui désinstalle les produits antivirus les plus couramment utilisés.

Comme la plupart des ransomwares, Cactus vole également les données de la victime. Pour ce faire, l’acteur de la menace utilise l’outil Rclone pour transférer les fichiers directement vers le stockage en nuage.

Après avoir exfiltré les données, les pirates ont utilisé un script PowerShell appelé TotalExec, souvent vu dans les attaques de ransomware BlackBasta, pour automatiser le déploiement du processus de chiffrement.

Gillespie nous a dit que la routine de cryptage dans les attaques de ransomware Cactus est unique. Malgré cela, elle ne semble pas être particulière à Cactus puisqu’un processus de cryptage similaire a également été adopté récemment par le gang de ransomware BlackBasta.

Pour l’instant, il n’y a pas d’informations publiques sur les rançons que Cactus exige de ses victimes, mais BleepingComputer a appris d’une source qu’elles se chiffrent en millions.

Même si les pirates volent des données aux victimes, il semble qu’ils n’aient pas mis en place un site de fuite comme d’autres opérations de ransomware impliquées dans la double extorsion.

Cependant, l’acteur de la menace menace les victimes de publier les fichiers volés à moins qu’elles ne soient payées. Cette menace est explicite dans la note de rançon :

Nous ne disposons pas pour l’instant de détails détaillés sur l’opération Cactus, sur les victimes qu’elle vise et sur la question de savoir si les pirates tiennent leur parole et fournissent un décrypteur fiable s’ils sont payés.

Ce qui est clair, c’est que les incursions des pirates jusqu’à présent ont probablement exploité les vulnérabilités de l’appliance VPN de Fortinet et suivent l’approche standard de la double extorsion en volant les données avant de les crypter.

L’application des dernières mises à jour logicielles du fournisseur, la surveillance du réseau pour les tâches d’exfiltration de données importantes et une réponse rapide devraient protéger contre les étapes finales et les plus préjudiciables d’une attaque de ransomware.