ألقى باحثو الأمن السيبراني الضوء على سلالة جديدة من برامج الفدية تسمى CACTUS والتي تم العثور عليها للاستفادة من العيوب المعروفة في أجهزة VPN للحصول على وصول أولي إلى الشبكات المستهدفة. برمجيات الفدية الجديدة “CACTUS”
قال كرول في تقرير: “بمجرد دخول الشبكة. يحاول ممثلو CACTUS تعداد حسابات المستخدمين المحليين والشبكات بالإضافة إلى نقاط النهاية التي يمكن الوصول إليها قبل إنشاء حسابات مستخدمين جديدة والاستفادة من البرامج النصية المخصصة لأتمتة نشر وتفجير برنامج تشفير الفدية عبر المهام المجدولة”. مشترك مع The Hacker News.
يبدو أن برنامج الفدية يستهدف الكيانات التجارية الكبيرة منذ مارس 2023. حيث تستخدم الهجمات تكتيكات ابتزاز مزدوجة لسرقة البيانات الحساسة قبل التشفير. لم يتم تحديد موقع تسرب البيانات حتى الآن.
بعد الاستغلال الناجح لأجهزة VPN المعرضة للخطر. تم إعداد باب خلفي SSH للحفاظ على الوصول المستمر ويتم تنفيذ سلسلة من أوامر PowerShell لإجراء مسح للشبكة وتحديد قائمة من الأجهزة للتشفير.
علاوة على ذلك تستخدم هجمات CACTUS أيضًا Cobalt Strike وأداة نفق يشار إليها باسم Chisel للقيادة والتحكم. جنبًا إلى جنب مع برنامج المراقبة والإدارة عن بُعد (RMM) مثل AnyDesk لدفع الملفات إلى المضيفين المصابين.
تم أيضًا اتخاذ خطوات لتعطيل حلول الأمان وإلغاء تثبيتها بالإضافة إلى استخراج بيانات الاعتماد من متصفحات الويب وخدمة النظام الفرعي لسلطة الأمان المحلية (LSASS) لتصعيد الامتيازات.
تصعيد الامتياز ينجح بالحركة الجانبية. واستخراج البيانات. ونشر برامج الفدية. ويتم تحقيق آخرها عن طريق برنامج نصي PowerShell تم استخدامه أيضًا بواسطة Black Basta.
يتمثل أحد الجوانب الجديدة لـ CACTUS في استخدام برنامج نصي دفعي لاستخراج الملف الثنائي لبرامج الفدية باستخدام 7-Zip. كما. متبوعًا بإزالة أرشيف .7z قبل تنفيذ الحمولة.
يتحدث لوري إياكونو:
قال لوري إياكونو. المدير العام المساعد للمخاطر الإلكترونية في Kroll. لصحيفة The Hacker News: “تقوم CACTUS بتشفير نفسها بشكل أساسي. مما يجعل من الصعب اكتشافها ومساعدتها على التهرب من أدوات مكافحة الفيروسات ومراقبة الشبكة”.
“هذا النوع الجديد من رانسوم وير تحت اسم CACTUS يستفيد من ثغرة أمنية في جهاز VPN شهير. ويظهر أن الجهات الفاعلة في التهديد تستمر في استهداف خدمات الوصول عن بعد ونقاط الضعف غير المُصححة للوصول الأولي.”
يأتي هذا التطور بعد أيام من قيام Trend Micro بإلقاء الضوء على نوع آخر من برامج الفدية المعروفة باسم Rapture والتي تحمل بعض أوجه التشابه مع عائلات أخرى مثل Paradise.
وقالت الشركة: “تمتد سلسلة العدوى بأكملها من ثلاثة إلى خمسة أيام على الأكثر”. مع الاستطلاع الأولي الذي أعقبه نشر Cobalt Strike. والذي يستخدم بعد ذلك لإسقاط برامج الفدية المستندة إلى .NET.
كما يبدو أن التسلل يتم تسهيله من خلال مواقع الويب والخوادم الضعيفة التي تواجه الجمهور. مما يجعل من الضروري أن تتخذ الشركات خطوات للحفاظ على تحديث الأنظمة وفرض مبدأ الامتياز الأقل (PoLP).
وقالت تريند مايكرو: “على الرغم من أن مشغليها يستخدمون أدوات وموارد متاحة بسهولة. إلا أنهم تمكنوا من استخدامها بطريقة تعزز قدرات Rapture بجعلها أكثر سرية وأكثر صعوبة في التحليل”. برمجيات الفدية الجديدة “CACTUS”
CACTUS و Rapture هما أحدث الإضافات إلى قائمة طويلة من عائلات برامج الفدية الجديدة التي ظهرت في الأسابيع الأخيرة. حيث Gazprom و BlackBit و UNIZA و Akira ومتغير NoCry ransomware يسمى Kadavro Vector.