Программа-вымогатель Cactus эксплуатирует уязвимости устройство Fortinet VPN для обхода антивирусной защиты и получения первоначального доступа к целевым ИТ-сетям. Операторы вымогателя активно используют ее с марта 2023 года, сообщает Bleeping Computer.
В отличие от традиционных методов атаки, Cactus использует собственный подход, который позволяет избежать обнаружения. Компания Kroll, специализирующаяся на корпоративных расследованиях и консультировании по рискам, отмечает, что хакеры получают доступ к внутренним сетям компаний через известную уязвимость в устройствах Fortinet VPN.
Основное отличие программы-вымогателя Cactus от других видов вымогательского ПО заключается в использовании шифрования для защиты бинарного файла самой программы. Злоумышленники применяют пакетный скрипт для получения бинарного файла шифровальщика с помощью архиватора 7-Zip. После извлечения и удаления исходного архива, двоичный файл разворачивается с определенным флагом, который разрешает его выполнение.
Эта процедура считается необычной, и исследователи из Kroll полагают, что такой подход используется злоумышленниками для обеспечения невозможности обнаружения шифровальщика антивирусными средствами. Лори Яконо, заместитель управляющего директора по киберризикам компании Kroll, заявила, что программа-вымогатель Cactus шифрует сама себя, что существенно усложняет процесс её обнаружения в целевых сетях организаций.
Такой подход позволяет обойти антивирусную защиту, а также современные инструменты мониторинга сети. Запуск двоичного файла с правильным ключом для параметра -i (шифрование) разблокирует данные и позволяет вредоносному ПО находить нужные файлы, а также запускать процесс многопоточного шифрования.
Майкл Гиллеспи, специалист по вымогательскому ПО, провел анализ того, как именно программа Cactus шифрует данные. Он сообщил изданию Bleeping Computer, что вредоносное ПО Cactus использует несколько расширений для целевых файлов в зависимости от состояния обработки. Например, во время подготовки файла к шифрованию, Cactus изменяет его расширение на .CTS0, а после шифрования расширение становится .CTS1.
Актуальные вакансии по ИБ: https://cisoclub.ru/vacancy/. Отправить резюме во все популярные IT-компании: https://cisoclub.ru/jobmail/
Больше интересного материала на cisoclub.ru. Подписывайтесь на нас: VK | Twitter | Rutube | Telegram | Дзен | YouTube.
