Por Heimdall: O ransomware Cactus é uma forma sofisticada de malware que se infiltra nos sistemas das organizações, criptografando dados vitais e exigindo resgates substanciais para sua liberação. Sua disseminação tem sido rápida e eficaz, explorando vulnerabilidades em redes corporativas e sistemas de TI.

O ransomware Cactus emergiu como uma ameaça significativa no cenário de cibersegurança, representando uma séria preocupação para organizações em todo o mundo. Nesse artigo, vamos fornecer uma visão detalhada de sua natureza, impacto potencial e estratégias de mitigação.

Sobre o Ransomware Cactus

O ransomware Cactus teria surgido em meados de março de 2023. O grupo ficou conhecido por explorar vulnerabilidades para obter acesso inicial e manter-se dentro da infraestrutura da organização.

Não se conhecem maiores informações sobre o grupo, exceto que teria surgido na data mencionada e, após a criptografia, um arquivo em formato de texto era criado com o nome ‘cAcTuS.readme.txt‘. Além disso, os arquivos criptografados eram alterados para a extensão ‘.cts1’, e a exfiltração de dados e extorsão das vítimas eram realizadas por meio da utilização do serviço conhecido como Tox.

O ransomware explora especialmente vulnerabilidades em VPNs, utilizando ainda técnicas de ofuscação para ocultar suas atividades, como o uso do UPX e a utilização de algoritmos de criptografia como o OpenSSL, AES OCB, ChaCha20_Poly1305, reinicializações de sistema e outros.

Veja a seguir alguns detalhes das fases de ataques do grupo de ransomware, de acordo com a pesquisa realizada e as evidências encontradas.

Cadeia de ataque do Ransomware Cactus

Acesso Inicial

Para o Acesso Inicial, o grupo de ransomware explora as vulnerabilidades conhecidas em dispositivos VPNs, seguido pela criação de um backdoor SSH que facilita o acesso para o ator e consegue persistir na infraestrutura da organização.

Nessas invasões através de dispositivos VPN vulneráveis, os atores exploraram o uso de contas de serviço VPN e, em seguida, utilizaram o seguinte comando para configurar um servidor SSH a fim de manter o acesso persistente, utilizando tarefas agendadas. A tarefa agendada tem o nome de ‘Updates Check Task’ e é executada a cada 5 minutos, sendo executada como SYSTEM.

Descoberta

Dentro da rede da organização, o ator de ameaça inicia o processo de Descoberta, utilizando o software “SoftPerfect Network Scanner (netscan)” para identificar outros tipos de dispositivos.

Além disso, alguns comandos no PowerShell são executados para enumeração na rede, como a execução de comando para visualizar eventos do Windows com o ID 4624, a fim de identificar contas de usuários, e a realização de pings em outros dispositivos remotos.

A resposta desses comandos é salva em um arquivo de texto na máquina e utilizado posteriormente pelo payload do ransomware para a criptografia.

Outro arquivo que pode ser utilizado pelos atores é conhecido como “PSnmap.ps1“, que seria similar ao NMAP para o PowerShell, e é executado para identificar outros ativos na rede.

Persistência

Em seguida, visando implementar a persistência no ambiente da organização, o ator de ameaça cria vários métodos de acesso remoto. Entre eles, foram identificados o uso de ferramentas legítimas como Splashtop, AnyDesk e SuperOps RMM, juntamente com o uso do Cobalt Strike e Chisel (uma ferramenta de proxy SOCKS5).

A ferramenta Chisel é utilizada para fornecer comunicações ocultas ao C2 do ator de ameaça, através do tunelamento do tráfego por firewalls, permitindo assim o download de scripts e ferramentas adicionais.

Escalação de privilégios

Para obter as credenciais necessárias para execução e movimentação lateral, o ator de ameaça geralmente tenta extrair credenciais dos navegadores da Web dos usuários e busca manualmente no disco por arquivos contendo senhas. O grupo também pode tentar extrair credenciais do LSASS para utilizá-las na escalada de privilégios. Um script em lote (bat) é executado e utilizado para adicionar contas privilegiadas aos terminais remotos.

Após o ator de ameaça conseguir estabelecer o nível de acesso, ele executa um script em lote (bat) que utiliza o msiexec para desinstalar o software antivírus comum por meio do GUID do software.

Movimentação lateral

O movimento lateral foi realizado por contas válidas ou criadas por meio de conexões RDP (Remote Desktop Protocol). Além disso, a ferramenta Super Ops também era utilizada para esse fim.

Execução

Como já identificado em outras operações de ransomware, este grupo também tenta realizar a exfiltração dos dados, visando realizar uma dupla extorsão à vítima. Para essa finalidade, o grupo utilizou a ferramenta Rclone para automatizar a exfiltração dos dados.

Após a exfiltração dos dados, o ator de ameaça utiliza um script previamente identificado em operações do ransomware BlackBasta, conhecido como “TotalExec.ps1”. Esse script utiliza o PsExec para automatizar a implantação do criptografador, neste caso o script f1.bat.

Este script é implantado primeiro para criar uma conta de usuário administrador que, em seguida, adiciona um segundo script chamado f2.bat para ser executado automaticamente no nível da máquina antes de reiniciar o dispositivo. O script f2.bat utiliza a ferramenta 7zip para extrair o binário do ransomware e, em seguida, o executa.

O binário utiliza o mesmo nome do ID da vítima individual para negociações, utilizando uma expressão regular (regex). Além disso, o executável está compactado com UPX e possui 3 modos principais de execução controlados por argumentos de linha de comando.

O argumento “-s” tem o foco em manter a persistência, onde ele se autocopiará para C:\ProgramData\<ID da vítima>.exe. O ransomware então cria um arquivo de configuração codificado em hexadecimal e empacotado com os dados indesejados em C:\ProgramData\ntuser.dat, contendo o caminho para o .exe original.

Após a criação do arquivo, o ransomware cria e executa uma tarefa agendada que executa o comando C:\Program Data\<ID da vítima>.exe -r.

Depois da criptografia, um arquivo de texto referente à nota de resgate é criado no dispositivo da vítima, contendo o seguinte conteúdo:

Campanhas identificadas

Em dezembro de 2023, a Microsoft alertou que os atores por trás do Ransomware Cactus estavam utilizando malvertising como método de infecção de vítimas.

De acordo com a Microsoft, um ator de ameaça conhecido como STORM-0216 teria recebido transferências dos operadores do Qakbot e, devido a isso, começou a utilizar diferentes malwares para obter acesso inicial após a remoção da operação do Qakbot. Uma das campanhas observadas, conhecida como Danabot, estava envolvida na coleta de credenciais de usuários e outras informações, enviando os dados para o C2. Essa atividade, rastreada pela Microsoft, levou o ator de ameaça a utilizar o Ransomware Cactus para criptografar os dados, vinculando o uso do Danabot através da técnica de malvertising.

CVEs exploradas pelo Ransomware Cactus

Foram observadas algumas campanhas utilizadas pelo Ransomware Cactus, como por exemplo a exploração de falhas de segurança da plataforma de análise de nuvem e inteligência de negócios conhecida como Qlik Sense.

A exploração foi identificada pelos pesquisadores da Arctic Wolf, afirmano que provavelmente o grupo estaria explorando as vulnerabilidades:

• CVE-2023-41265, com pontuação de 9,9.
• CVE-2023-41266, com pontuação de 6,5.
• CVE-2023-48365, com pontuação de 9,9.

É valido mencionar que a CVE-2023-48365 é o resultado de um patch incompleto para a CVE-2023-41265, que junto com a CVE-2023-41266, foi divulgado pela Praetorian no final de agosto de 2023.

MITRE ATT&CK – TTPs

Tática	Técnica	Detalhes
Resource Development TA0042	Malvertising T1538.008	O ator de ameaça foi identificado pela Microsoft como responsável da campanha do Danabot via malvertising para entrega final do Ransomware Cactus.
Initial Access TA0001	Exploit Public-Facing Application T1190	O grupo realiza a exploração de vulnerabilidades nas aplicações de VPN
Execution TA0002	Scheduled Task/Job: Scheduled Task T1053.005	O grupo utiliza o agendamento de tarefas para execução de arquivo para comunicação de C2 e utilização da persistência do payload do Ransomware
Discovery TA0007	System Network Connections Discovery T1049	Os atores utilizam ferramentas para realizar a varredura dos sistemas da infraestrutura da organização.
Discovery TA0007	Account Discovery: Domain Account T1087.002	Os atores utilizam scripts para identificar através de log de eventos do Windows contas de domínios de usuários conectados.
Discovery TA0007	Remote System Discovery T1018	Os atores tentam obteruma lista de outros sistemas, hosts, IPs e qualquer outro identificador para movimentação lateral.
Discovery TA0007	Account Discovery T1087	Os atores tentam obter uma lista de contas, nomes de usuários e endereços de e-mails válidos para acesso posterior.
Command and Control TA0011	Remote Access Software T1219	Os atores utilizam a conexão RDP para acesso a outros dispositivos na rede interna.
Command and Control TA0011	Proxy T1090	Os atores utilizam o proxy de conexão para direcionar o tráfego de rede entre os sistemas visando não serem identificados por soluções de segurança.
Defense Evasion TA0005	Disable or Modify Tools T1562.001	O grupo utiliza a modificação e desabilitação de ferramentas de seguranças para evitar a possível detecção dos malwares e acessos.
Defense Evasion TA0005	Obfuscated Files or Infomation T1027	O grupo utiliza técnicas de ofuscação de arquivos baixados para não serem identificados pelas defesas.
Defense Evasion TA0005	Obfuscated Files or Infomation: Software Packing T1027.002	Os atores utilizam o packing no payload do ransomware visando não ser identificado pelas defesas.
Persistence TA0003	Create Account T1136	O grupo realiza a criação de conta de serviço/system para lançar o ransomware.
Credential Access TA0006	Credentials from Web Browsers T1555.003	O grupo realiza a pesquisa de arquivos chaves dos navegadores dos usuários visando localizar senhas armazenadas para prosseguir com o ataque e acessar outras contas.
Credential Access TA0006	OS Credential Dumping T1003.001	O grupo realiza o dumo de memória do LSASS visando identificar as credenciais.
Lateral Movement TA0008	Remote Services: SSH T1021.004	O grupo utiliza o acesso inicial para configurar um túnel SSH para o C2.
Lateral Movement TA0008	Remote Desktop Protocol T1021.001	Os atores do Cactus utilizam contas válidas para realizar o login em dispositivos por meio de RDP.
Lateral Movement TA0008	Lateral Tool Transfer T1570	Os atores utlizam ferramentas ou outros arquivos entre os sistemas para preparação de arquivos e criptografia dos dados.
Execution TA0002	Software Deployment Tools T1072	Os atores tentam obter acesso e utilizar conjunto de software de terceiros instalados na rede para se mover lateralmente.
Exfiltration TA0010	Exfiltration to Cloud Storage T1567.002	Os atores exfiltram os dados para um serviço de armazenamento em nuvem através de ferramenta como Rclone e outros.
Impact TA0040	Data Encrypted for Impact T1486	Os atores utilziam o payload do ransomware para criptografia dos dados e alteração das extensões.

Modelo Diamante do Ransomware Cactus

O Modelo Diamante (Model Diamond) é uma abordagem estruturada que visa fornecer uma visão abrangente e integrada das atividades de inteligência tecnológica em uma organização com o foco nos atores de ameaças. Este modelo é útil para ajudar a identificar quais as capacidades e infraestrutura dos adversários/atores de ameaças contra as organizações.

Indicadores de Comprometimento (IoCs)

A ISH Tecnologia realiza o tratamento de diversos indicadores de comprometimento coletados por meio de fontes abertas, fechadas e também de análises realizadas pela equipe de segurança Heimdall. Diante disto, abaixo listamos todos os Indicadores de Comprometimento (IOCs) relacionadas a análise do(s) artefato(s) deste artigo.

Indicadores de URLs, IPs e Domínios

Obs: Os links e endereços IP elencados acima podem estar ativos; cuidado ao realizar a manipulação dos referidos IoCs, evite realizar o clique e se tornar vítima do conteúdo malicioso hospedado no IoC.

Como se proteger

Além dos indicadores de comprometimento elencados acima pela ISH, poderão ser adotadas medidas visando a mitigação da infecção do referido malware, como por exemplo:

• Realize o gerenciamento de patches visando manter seus dispositivos VPNs atualizados.
• Eduque os funcionários sobre as melhores práticas de segurança cibernética.
• Implemente soluções robustas de proteção de endpoints.
• Utilize a Autenticação Multifator para sistemas na organização.
• Faça backups regulares dos seus dados e armazene-os isolados da rede.
• Revise regularmente as contas de usuários de administrador e de serviço.
• Monitore o uso do PowerShell e registre a sua execução.

Referências

• Heimdall by ISH Tecnologia
• Ransomware Cactus estaria explorando vulnerabilidades do Qlik Sense
• Detalhes de ataques da variante do Cactus
  • KROLLSocRadar
  • SecurityScorecard