Cactus

Cactus Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные бизнес-пользователей с помощью комбинации алгоритмов AES+RSA, а затем требует от своих жертв крупный выкуп, чтобы получить возможность вернуть файлы. Оригинальное название: Cactus, указано в записке. 

---
Обнаружения:
DrWeb -> 
BitDefender -> 
ESET-NOD32 -> 
Kaspersky -> 
Malwarebytes -> 
Microsoft -> 
Rising -> 
Tencent -> 
TrendMicro -> 
---

© Генеалогия: родство выясняется >> Cactus

Сайт "ID Ransomware" идентифицирует это как Cactus. 

Информация для идентификации

Активность этого крипто-вымогателя была во второй половине марта 2023 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

При подготовке файла к шифрованию Cactus меняет его расширение на .CTS0. После шифрования расширение становится .CTS1.

У Cactus также есть "быстрый режим", который похож на легкий проход шифрования. Последовательный запуск вредоносной программы в быстром и обычном режимах приводит к двойному шифрованию одного и того же файла и добавлению нового расширения после каждого процесса (например, .CTS1 - .CTS7).

Записка с требованием выкупа называется: cAcTuS.readme.txt

Содержание записки о выкупе:

Your systems were accessed and encrypted by Cactus.

To recover your files and prevent data disclosure contact us via eieail: cactus@mexicomail.com

Your unique 10 reference: ***

Backup contact: TOX (https://tox.chat/):

***

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Подробности атаки и шифрования: 

Cactus получает первоначальный доступ к сети крупных коммерческих организаций, используя известные уязвимости в устройствах Fortinet VPN.

Во всех расследованных инцидентах хакеры проникали внутрь с VPN-сервера, используя учетную запись службы VPN.

Использование шифрования для защиты двоичного файла программы-вымогателя отличает Cactus от других выомгателей. Используется пакетный сценарий для получения двоичного файла шифратора с помощью 7-Zip. Исходный ZIP-архив удаляется, а двоичный файл развертывается с особым флагом, разрешающим его выполнение. Весь процесс необычен и исследователи полагают, что он предназначен для предотвращения обнаружения шифровальщика-вымогателя.

По данным исследователей из компании Kroll, существует три основных режима выполнения, каждый из которых выбирается с помощью определенного параметра командной строки: настройка (-s) , чтение конфигурации ( -r ) и шифрование ( -i ).

Аргументы -s и -r позволяют злоумышленникам настроить постоянство и сохранить данные в файле C:\ProgramData\ntuser.dat, который позже будет прочитан шифровальщиком при запуске с аргументом командной строки -r .

Чтобы шифрование файла было возможным, необходимо предоставить уникальный ключ AES, известный только злоумышленникам, с использованием аргумента командной строки -i .

Этот ключ необходим для расшифровки файла конфигурации программы-вымогателя, а открытый ключ RSA необходим для шифрования файлов. Он доступен в виде шестнадцатеричной строки, жестко закодированной в двоичном файле шифратора.

Декодирование HEX-строки предоставляет фрагмент зашифрованных данных, который разблокируется с помощью ключа AES.

Cactus, по сути, шифрует себя, что затрудняет его обнаружение и помогает обойти антивирусные инструменты и инструменты сетевого мониторинга. 

Запуск двоичного файла с правильным ключом для  параметра -i  (шифрование) разблокирует информацию и позволяет вредоносному ПО искать файлы и запускать процесс многопоточного шифрования.

Процесс шифрования файла

Схема от Kroll объясняет процесс выполнения двоичного кода Cactus в соответствии с выбранным параметром.

Процесс выполнения двоичного кода

Схема работы программы-вымогателя

Использование легитимных инструментов: 

Попав в сеть, злоумышленник использовал запланированное задание для постоянного доступа с помощью бэкдора SSH, доступного с сервера управления и контроля (C2). В частности, используется SoftPerfect Network Scanner (netscan) для поиска интересных целей в сети. Для более глубокой разведки злоумышленники используют команды PowerShell для перечисления конечных точек, идентификации учетных записей пользователей путем просмотра успешных входов в систему в средстве просмотра событий Windows и проверки связи с удаленными хостами.

Cactus использует модифицированный вариант инструмента PSnmap Tool с открытым исходным кодом, который является эквивалентом PowerShell сетевого сканера nmap.

Для запуска различных инструментов, необходимых для атаки, Cactus Ransomware пробует несколько методов удаленного доступа с помощью легитимных инструментов (Splashtop, AnyDesk, SuperOps RMM), а также Cobalt Strike и прокси-инструмента Chisel на базе Go. После повышения привилегий на машине операторы Cactus запускают пакетный скрипт, который удаляет наиболее часто используемые антивирусные продукты.

Кража данных: 

Кроме этого Cactus крадет данные жертв. Для этого процесса злоумышленник использует инструмент Rclone для передачи файлов прямо в облачное хранилище. После кражи данных хакеры используют сценарий PowerShell под названием TotalExec, который часто встречается в атаках BlackBasta Ransomware, чтобы автоматизировать развертывание процесса шифрования.

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
cAcTuS.readme.txt - название файла с требованием выкупа;

TotalExec.ps1, psnb.ps1, f1.bat, f2.bat - вредоносные сценарии; 
a12b-e4fg-c12g-zkc2.exe, abc1-d2ef-gh3i-4jkl.exe - примерные названия вредоносного файла и его копии;

 conhost.exe - вредоносный файл. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: cactus@mexicomail.com
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: 78aea93137be5f10e9281dd578a3ba73

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 1 декабря 2023:

Статья на сайте BC >>

Обновление от 29 января 2024:
Статья на сайте BC >>

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message
 Write-up, Write-up, Topic of Support
 ***

 Thanks: 
 Michael Gillespie
 Andrew Ivanov (article author)
 Kroll, BleepingComputer
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.