CACTUS-Ransomware

Sep 08, 2023

Mi, 10. Mai 2023

Laurie Iacono

Stephen Green

Dave Truman

Analysten von Kroll Cyber ​​Threat Intelligence haben einen neuen Ransomware-Typ namens CACTUS identifiziert, der seit März 2023 auf große kommerzielle Unternehmen abzielt. angegebenen Namen im Erpresserbrief selbst. Verschlüsselte Dateien werden mit .cts1 angehängt, obwohl Kroll feststellt, dass die Zahl am Ende der Erweiterung je nach Vorfall und Opfer unterschiedlich ausfällt. Kroll hat beobachtet, dass über den Peer-to-Peer-Messaging-Dienst Tox vertrauliche Daten herausgefiltert und Opfer erpresst wurden. Eine bekannte Opfer-Leak-Site wurde zum Zeitpunkt der Analyse jedoch nicht identifiziert.

Nach Krolls Erfahrung hat CACTUS eine Reihe sich überschneidender Taktiken, Techniken und Verfahren (TTPs) eingesetzt. Dazu gehört die Verwendung von Tools wie Chisel, Rclone, TotalExec, Scheduled Tasks und benutzerdefinierten Skripts, um Sicherheitssoftware für die Verbreitung der Ransomware-Binärdatei zu deaktivieren. Kroll hat beobachtet, wie sich Bedrohungsakteure durch die Ausnutzung von VPN-Appliances ersten Zugang verschafften. Interessanterweise wurde beobachtet, dass CACTUS eine Datei namens ntuser.dat in C:\ProgramData nutzt, um einen AES-Schlüssel zum Entschlüsseln des öffentlichen RSA-Schlüssels zu übergeben und so die Binärdatei zu entschlüsseln, die für die dauerhafte Ausführung über geplante Aufgaben verwendet wird.

Basierend auf den zum Zeitpunkt der Veröffentlichung dieses Bulletins verfügbaren Erkenntnissen erfolgt der wahrscheinlichste erste Exploit der Stufe 1 des Kroll Intrusion Lifecycle durch die Ausnutzung anfälliger VPN-Appliances. Es wurde festgestellt, dass diese Taktik ein roter Faden bei mehreren CACTUS-Vorfällen ist, die Kroll untersucht hat. In allen beobachteten Fällen erfolgte der Zugriff des Bedrohungsakteurs über einen VPN-Server mit einem VPN-Dienstkonto. Anschließend wird eine SSH-Hintertür zum Command and Control (C2) des Bedrohungsakteurs eingerichtet, um den dauerhaften Zugriff über geplante Aufgaben aufrechtzuerhalten.

Abbildung 1 – install.bat

MITRE ATT&CK – T1190: Öffentliche Anwendung ausnutzenMITRE ATT&CK – T1021.004: SSHMITRE ATT&CK – T1053.005: Geplante Aufgabe

Sobald der Bedrohungsakteur im Netzwerk ist, führt er eine erste interne Suche über den SoftPerfect Network Scanner (Netscan) durch. PowerShell-Befehle werden ausgeführt, um Endpunkte aufzuzählen, Windows Security 4624-Ereignisse anzuzeigen, um Benutzerkonten zu identifizieren, und Remote-Endpunkte zu pingen. Die Ausgabe dieser Befehle wird in Textdateien auf dem Host-Computer gespeichert. Die Ausgabedateien werden später zur Ausführung der Ransomware-Binärdatei verwendet.

Abbildung 2 – PowerShell-Enumeration

Kroll hat außerdem eine modifizierte Version eines Open-Source-Skripts namens PSnmap.ps1 identifiziert, das als NMAP-Äquivalent für PowerShell fungiert. Dies wird auch durchgeführt, um andere Endpunkte innerhalb des Netzwerks zu identifizieren.

MITRE ATT&CK – T1049: Erkennung von SystemnetzwerkverbindungenMITRE ATT&CK – T1087.002: DomänenkontoMITRE ATT&CK – T1018: Remote-SystemerkennungMITRE ATT&CK – T1087: Kontoerkennung

Um die Persistenz innerhalb der Umgebung aufrechtzuerhalten, versucht der Bedrohungsakteur, eine Reihe von Fernzugriffsmethoden zu entwickeln. Kroll hat die Verwendung legitimer Fernzugriffstools wie Splashtop, AnyDesk und SuperOps RMM sowie Cobalt Strike und die Verwendung von Chisel, einem SOCKS5-Proxy-Tool, identifiziert. Chisel hilft beim Tunneln des Datenverkehrs durch Firewalls, um versteckte Kommunikation zum C2 des Bedrohungsakteurs bereitzustellen, und wird wahrscheinlich verwendet, um zusätzliche Skripte und Tools auf den Endpunkt zu übertragen.

Sobald der Bedrohungsakteur die richtige Zugriffsebene festgelegt hat (siehe: Eskalation), führt er dann ein Batch-Skript aus, das msiexec nutzt, um gängige Antivirensoftware über die Software-GUID und in mindestens einem (1) Vorfall auch Bitdefender zu deinstallieren Deinstallationsprogramm wie in Abbildung 3 gezeigt.

Abbildung 3 – Abschnitt des Batch-Skripts zum Deaktivieren von Anti-Virus

MITRE ATT&CK – T1219: FernzugriffssoftwareMITRE ATT&CK – T1090: ProxyMITRE ATT&CK – T1562.001: Tools deaktivieren oder ändern

Um an Anmeldeinformationen zu gelangen, die für die Ausführung und laterale Bewegung ausreichen, hat der Bedrohungsakteur häufig versucht, Anmeldeinformationen aus den Webbrowsern der Benutzer zu entwenden und die Festplatte manuell nach einer Datei mit Kennwörtern zu durchsuchen. Darüber hinaus versuchen sie möglicherweise auch, LSASS-Anmeldeinformationen für eine spätere Rechteausweitung zu speichern. Anschließend wird ein weiteres Batch-Skript genutzt, um privilegierte Konten zu Remote-Endpunkten hinzuzufügen. Diese Aktivität wird später im Bericht besprochen.

Abbildung 4 – f1.bat Hinzufügen lokaler Administratorkonten

MITRE ATT&CK – T1136: Konto erstellenMITRE ATT&CK – T1555.003: Anmeldeinformationen von WebbrowsernMITRE ATT&CK – T1003: Betriebssystem-Anmeldeinformationen-Dump

Es wurde beobachtet, dass gültige oder erstellte Konten und das Remotedesktopprotokoll (RDP) seitliche Bewegungen ausführen. Für die laterale Bewegung wurden jedoch auch Remote-Management-Tools wie Super Ops eingesetzt.

MITRE ATT&CK – T1021.001: Remotedesktopprotokoll MITRE ATT&CK – T1072: Softwarebereitstellungstools

Wie viele Ransomware-Gruppen versuchen auch CACTUS-Akteure, sensible Daten herauszufiltern, um den Erpressungsdruck zu erhöhen. Kroll hat beobachtet, dass gängige Exfiltrationstools wie Rclone zum automatischen Extrahieren von Dateien in den Cloud-Speicher verwendet werden.

MITRE ATT&CK – T1567.002: Exfiltration in den Cloud-Speicher

Sobald die Daten exfiltriert wurden, beginnt der Bedrohungsakteur mit den Vorbereitungen für die Verschlüsselung der Geräte. Unter Verwendung eines Skripts namens TotalExec.ps1, das häufig von BLACKBASTA genutzt wird und PsExec verwendet, um die Bereitstellung des Verschlüsselungsprogramms zu automatisieren. In diesem Fall handelt es sich um das Skript f1.bat (siehe Abbildung 4) und das Skript f2.bat (siehe Abbildung 5). Wie bereits erwähnt, handelt es sich um den Batch Das Skript f1.bat wird zuerst bereitgestellt, um ein neues Administratorbenutzerkonto zu erstellen, das dann ein zweites Skript mit dem Namen f2.bat als Autorun auf Maschinenebene hinzufügt, bevor das Gerät neu gestartet wird. Die f2.bat ist in Abbildung 6 zu sehen und zeigt ein Batch-Skript, das zum Extrahieren der Ransomware-Verschlüsselungsbinärdatei mit 7zip verwendet wird, bevor dann die ZIP-Datei entfernt und die Binärdatei mit einem gesetzten Flag ausgeführt wird, das die Ausführung der Binärdatei ermöglicht. Dies wird dann von PsExec remote für die Liste der Geräte in der zuvor erstellten Datei ips.txt ausgeführt.

Abbildung 5 – TotalExec.ps1-Ausführung

Abbildung 6 – f2.bat Ausführung der Ransomware Encryptor Binary

Die Binärdatei selbst ist interessant. Sie trägt normalerweise den gleichen Namen wie die individuelle Opfer-ID, die für Verhandlungen verwendet wird, und ist normalerweise in der Regex [a-z1-9]{4}-[a-z1-9]{4} strukturiert. -[a-z1-9]{4}-[a-z1-9]{4}\.exe zum Beispiel „a12b-e4fg-c12g-zkc2.exe“, wobei der Name vor „.exe“ als fungiert Opfer-ID.

Die UPX-gepackte ausführbare Datei verfügt über drei Hauptausführungsmodi, die durch Befehlszeilenschalter gesteuert werden. Ein vollständiger Ablauf des Ausführungsprozesses ist in Abbildung 16 zu sehen.

Dieser Modus wird durch die Übergabe eines „-s“-Flags in der Befehlszeile ausgelöst und dient dazu, sich selbst als Persistenz einzurichten und sich dann im nächsten Modus erneut aufzurufen.

In diesem Modus kopiert es seine eigene ausführbare Datei in die Datei C:\ProgramData\{Victim_ID}.exe, zum Beispiel: C:\ProgramData\abc1-d2ef-gh3i-4jkl.exe.

Die Ransomware schreibt dann eine mit Junk-Daten umschlossene, hexadezimal codierte Konfigurationsdatei nach C:\ProgramData\ntuser.dat, die den Pfad zur ursprünglichen Exe-Datei enthält, eine Base64-Zeichenfolge, die mit dem Befehlszeilenargument „–i“ übergeben wurde, und alle verbleibenden Dateien Kommandozeilenargumente. Die hexadezimale Zeichenfolge wird weiter verschleiert, indem die Ausrichtung jeder aus zwei Zeichen bestehenden Bytedarstellung um ein Zeichen verschoben wird.

Abbildung 7 – Erste 100 Bytes von C:\ProgramData\ntuser.dat

Abbildung 8 – Daten von C:\ProgramData\ntuser.dat mit Standard-Hex-Dekodierung

Abbildung 9 – Daten von C:\ProgramData\ntuser.dat mit Hex-Dekodierung und angepasster Ausrichtung

Abbildung 10 – Ransomware-Konfiguration versteckt im Junk-Text, der aus C:\ProgramData\ntuser.dat extrahiert wurde

Sobald CACTUS die Datei ntuser.dat erstellt hat, wird eine geplante Aufgabe erstellt und ausgeführt, die den Befehl C:\ProgramData\{Victim_ID}.exe -r ausführt

Der CACTUS-Einrichtungsprozess wird nun beendet.

Wenn die Ransomware von der geplanten Aufgabe mit der Option „-r“ aufgerufen wird, liest sie die Datei ntuser.dat und extrahiert die drei Felder.

Der CACTUS-Prozess löscht dann die ausführbare Datei, auf die im ersten Feld verwiesen wird. Anschließend erzeugt es eine weitere Instanz von sich selbst, übergibt das zweite Feld als Parameter an die Option „–i“ und hängt dann das dritte Feld, das alle verbleibenden Argumente enthält, an die Befehlszeile an.

Die Cactus-Instanzen im Lesekonfigurationsmodus werden jetzt beendet.

Wenn die Ransomware ohne die Parameter -s oder -r erzeugt wird, versucht sie, das Dateisystem zu verschlüsseln. Die Malware dekodiert einen Hardcode-Hex-String. Diese Hex-Zeichenfolge kann nach dem Entpacken leicht in der Binärdatei gefunden werden.

Abbildung 11 – Hex-String

Sobald die Hex-Zeichenfolge dekodiert wurde, werden die resultierenden Daten mithilfe des AES-Algorithmus mit dem Parameter „-i“ und einem fest codierten Initialisierungsvektor entschlüsselt. Der resultierende Klartext wird in ein öffentliches RSA-Schlüsselobjekt geladen.

Abbildung 12 – AES-Entschlüsselung des öffentlichen RSA-Schlüssels

Anschließend durchsucht die Malware das Dateisystem nach Dateien und startet mehrere Threads, um diese zu verschlüsseln. Um eine große Anzahl von Dateien effizient zu verschlüsseln, nutzt es die Envelope-Implementierung von OpenSSL aus einer statisch verknüpften Funktion. Zuerst wird ein zufälliger AES-Schlüssel generiert, um eine Datei zu verschlüsseln, dann wird der AES-Schlüssel selbst durch den öffentlichen RSA-Schlüssel verschlüsselt. Dadurch wird ein „Umschlag“ erstellt, der die AES-verschlüsselte Datei und den RSA-verschlüsselten AES-Schlüssel enthält. Daher ist zum Entschlüsseln der Datei der private RSA-Schlüssel erforderlich, um den AES-Schlüssel zu extrahieren.

Abbildung 13 – Dateiverschlüsselungsprozess

Abbildung 14 – Dateiverschlüsselung mit AES, RSA und OpenSSL

Die Malware verschlüsselt die Dateien bis zum Abschluss weiter.

Nach der Ausführung werden Dateien mit der Erweiterung „cts\d“ angehängt, wobei das letzte Zeichen eine austauschbare Ziffer ist. Anschließend wird ein Lösegeldschein mit dem Namen „cAcTuS.readme.txt“ erstellt, der Einzelheiten darüber enthält, wie das Opfer über den TOX-Chat verhandeln kann. Die meisten Ransomware-Gruppen führen eine Shaming-Site auf, diese wurde jedoch zu diesem Zeitpunkt noch nicht identifiziert, ebenso wenig wie ein anderer Bereich der Datenoffenlegung.

Abbildung 15 – CACTUS-Lösegeldschein

Zum Zeitpunkt des Verfassens dieses Bulletings hatte Kroll noch keine von CACTUS verfasste „Shaming-Site“ oder einen von CACTUS verfassten Blog zur Opferidentifizierung zum Zweck der Weitergabe von Opferdaten für den Fall, dass kein Lösegeld gezahlt wurde, identifiziert. Bezüglich des Lösegelds liegen derzeit nicht genügend Daten vor, um einen durchschnittlichen Startpreis anzugeben. Es bleibt auch abzuwarten, was passieren würde, wenn kein Lösegeld gezahlt würde, und wie erfolgreich ein von einem Bedrohungsakteur bereitgestellter Entschlüsseler sein könnte.

MITRE ATT&CK – T1027.002: Software-Paket MITRE ATT&CK – T1486: Für Impact verschlüsselte DatenMITRE ATT&CK – T1027: Verschleierte Dateien oder InformationenMITRE ATT&CK – T1570: Laterale Werkzeugübertragung

Abbildung 16 – Ransomware-Binärausführung

Kroll hat ein einfaches Python-Skript bereitgestellt, um die mit CACTUS verknüpfte Datei ntuser.dat zu dekodieren.

TA0001

T1190

Öffentlich zugängliche Anwendung ausnutzen

TA0002

T1059

Befehls- und Skriptinterpreter

T1053.005

Geplante Aufgabe

T1072

Software-Bereitstellungstools

TA0003

T1053.005

Geplante Aufgabe

T1136

Benutzerkonto erstellen

TA0004

T1053.005

Geplante Aufgabe

TA0005

T1562.001

Deaktivieren oder ändern Sie Tools

T1027.002

Softwareverpackung

T1027

Verschleierte Dateien oder Informationen

TA006

T1555.003

Anmeldeinformationen von Webbrowsern

T1003

Dumping von OS-Anmeldeinformationen

TA0007

T1049

Erkennung von Systemnetzwerkverbindungen

T1087.002

Domänenkonto

T1087

Kontoerkennung

T1018

Remote-Systemerkennung

TA0008

T1021.001

Remotedesktopprotokoll

T1072

Software-Bereitstellungstools

T1570

Seitlicher Werkzeugtransfer

TA0009

T1119

Automatisierte Sammlung

TA0010

T1567.002

Exfiltration in den Cloud-Speicher

TA0011

T1219

Fernzugriffssoftware

T1090

Stellvertreter

TA0040

T1486

Für Impact verschlüsselte Daten

Kroll hat Empfehlungen zu dieser Warnung identifiziert:

Überwachen Sie die PowerShell-AusführungStellen Sie sicher, dass PowerShell protokolliert wird, und erstellen Sie Erkennungen für die Ausführung verschlüsselter Skripte

Überwachen Sie Benutzer-, Administrator- und Dienstkonten Stellen Sie sicher, dass Konten über den richtigen Zugriff und die richtigen Berechtigungen verfügen. Implementieren Sie das Prinzip der geringsten Privilegien.

Implementieren Sie die Multi-Faktor-AuthentifizierungDie Multi-Faktor-Authentifizierung kann den Zugriff auf sensible Bereiche einschränken und seitliche Bewegungen verhindern.

Überprüfen Sie Backup-StrategienStellen Sie sicher, dass mehrere Backups erstellt werden und dass mindestens ein Backup vom Netzwerk isoliert ist.

Das Threat-Intelligence-Team von Kroll hat Erkennungsregeln für CACTUS erstellt und bereitgestellt. Bei Fragen wenden Sie sich bitte an Ihren technischen Account Manager oder reichen Sie ein Support-Ticket ein.

Wenn Sie sich über Ihre Erkennungsfähigkeiten für CACTUS (oder eine andere Ransomware-Variante) nicht sicher sind, wenden Sie sich noch heute an einen Kroll-Experten.

Die folgenden Dateien und Hashes wurden für den Vorfall identifiziert.

Die folgenden externen IP-Adressen wurden während des Vorfalls beobachtet:

Reaktion auf Vorfälle, digitale Forensik, Meldung von Verstößen, verwaltete Erkennungsdienste, Penetrationstests, Cyber-Bewertungen und Beratung.

Stoppen Sie Cyberangriffe. Die von Kroll Responder verwaltete Erkennung und Reaktion wird von erfahrenen IR-Experten und Bedrohungsinformationen an vorderster Front unterstützt, um eine konkurrenzlose Reaktion zu liefern.

Beauftragen Sie erfahrene Responder mit der Bewältigung des gesamten Lebenszyklus eines Sicherheitsvorfalls.

Kroll bietet mehr als einen typischen Incident Response Retainer – sichern Sie sich einen echten Cyber ​​Risk Retainer mit erstklassigen digitalen Forensik- und Incident Response-Funktionen und maximaler Flexibilität für proaktive und Benachrichtigungsdienste.

Die Ransomware-Bereitschaftsbewertung von Kroll hilft Ihrem Unternehmen, Ransomware-Angriffe zu vermeiden, indem 14 wichtige Sicherheitsbereiche und Angriffsvektoren untersucht werden.

Krolls Expertise stellt fest, ob und in welchem ​​Ausmaß Daten kompromittiert wurden. Wir decken umsetzbare Informationen auf, sodass Sie besser auf die Bewältigung eines zukünftigen Vorfalls vorbereitet sind.

Die Computerforensik-Experten von Kroll stellen sicher, dass keine digitalen Beweise übersehen werden, und unterstützen Sie in jeder Phase einer Untersuchung oder eines Rechtsstreits, unabhängig von der Anzahl oder dem Standort der Datenquellen.

Bei einem BEC-Angriff (Business Email Compromise) kann eine schnelle und entschlossene Reaktion einen enormen Unterschied bei der Begrenzung des finanziellen Risikos, des Reputationsrisikos und des Rechtsstreits machen. Mit jahrzehntelanger Erfahrung in der Untersuchung von BEC-Betrügereien auf verschiedenen Plattformen und proprietären forensischen Tools ist Kroll Ihr ultimativer BEC-Reaktionspartner.

Die Behebung und Wiederherstellung von Cyber-Vorfällen ist Teil der Complete Response-Funktionen von Kroll, die die Systemwiederherstellung beschleunigen und Geschäftsunterbrechungen minimieren.

Validieren Sie Ihre Cyber-Abwehr gegen reale Bedrohungen. Die erstklassigen Penetrationstestdienste von Kroll vereinen Bedrohungsinformationen an vorderster Front, tausende Stunden an Cyber-Sicherheitsbewertungen, die jedes Jahr durchgeführt werden, und ein Team zertifizierter Cyber-Experten – die Grundlage für unseren anspruchsvollen und skalierbaren Ansatz.