A ISH Tecnologia divulgou detalhes sobre a operação do ransomware Cactus. A companhia elaborou um relatório de pesquisas, que contém informações sobre o modo de execução e os principais alvos do grupo criminoso.
Segundo a empresa, o malware disparado pelo grupo é capaz de se infiltrar em sistemas de organizações, criptografar dados sensíveis e exigir resgates de valores muito altos. Apesar de seu recente surgimento, esse software malicioso tem se disseminado de forma veloz e eficaz, e tem mirado também redes corporativas e sistemas de TI.
Além disso, a perícia da ISH revela que o Brasil é um dos países na mira do grupo, assim como Estados Unidos, Canadá, Austrália e diversos países da Europa. Os setores de finanças, varejo, seguros, transporte, manufatura e serviços são os mais afetados até o momento.
O boletim revela que a execução do malware em ocorre a partir das seguintes fases:
Acesso inicial: Para começar sua execução, o ransomware Cactus explora vulnerabilidades em aparelhos VPNs. Na sequência, há a criação de um backdoor SSH, que busca agilizar o acesso para o ator e consegue invadir os sistemas da organização.
Durante essas invasões os agentes maliciosos examinam vulnerabilidades, que podem facilitar a execução de tarefas mal-intencionadas, previamente agendadas;
Descoberta: Já instalada na rede da organização, o malware inicia um procedimento de varredura, descoberta e identificação de demais dispositivos. Nessa ação, o software utilizado é conhecido como “SoftPerfect Network Scanner (netscan)”.
Persistência: Com o objetivo de se estabelecer na rede das organizações e criar diversos pontos de acesso remoto, o ator de ameaça utiliza ferramentas como Splashtop, AnyDesk, SuperOps RMM, Cobalt Strike e Chisel.
Execução: o grupo, focado na extração de dados, também tem o objetivo de realizar extorsões direcionadas às suas vítimas. Para acessar as informações confidenciais, o agente malicioso utiliza a ferramenta digital Rclone para automatizar esse processo de rouba de materiais.
Após a coleta de dados, há a utilização de uma sequência de scripts (TotalExec.ps1 e o f2.bat) para criar uma conta de administrador e reiniciar o dispositivo ao serem executados. Esse processo é feito para que haja a criação e execução de um arquivo para executar a tarefa de comando C:\ProgramData\.exe -r.
Em dezembro de 2023, a Microsoft descobriu que um agente malicioso, conhecido como STORM-0216, realizou práticas mal-intencionadas com o ransomware Cactus. O malware, em questão, foi utilizado para criptografar códigos e informações confidenciais, e enviar esses dados para um C2 (servidor de comando e controle).
Pesquisadores da Artic Wolf também afirmaram que o grupo de ransomwares explora vulnerabilidades como: CVE-2023-41265, CVE-2023-41266, CVE-2023-48365.
Por fim, a ISH elenca algumas dicas e recomendações para que ataques de malwares como esse sejam evitados: Backup regular de dados e informações confidenciais; Revisão constante das contas de usuários de administrador e de serviço; Implementação de soluções para proteção de endpoints; e Educar os colaboradores sobre as melhores práticas de segurança cibernética.
