Investigadores de la firma de ciberseguridad Kroll han identificado una nueva variante de ransomware llamada CACTUS, que está explotando vulnerabilidades conocidas en las VPNs (Virtual Private Networks) para obtener acceso inicial a las redes de las víctimas.

Aunque los actores de amenazas detrás de CACTUS utilizan un modelo de doble extorsión, la página de filtración de datos aún no ha sido descubierta, a pesar de que llevan activos desde marzo de 2023.

Lo que destaca de esta nueva variante de ransomware es su capacidad de cifrarse a sí misma para evitar ser detectada por herramientas de seguridad y monitorización de redes, lo que hace más difícil su detección.

Una vez que los atacantes obtienen acceso a la red, utilizan una tarea programada para mantener la persistencia mediante un backdoor SSH.

ransomware CACTUS

CACTUS ransomware utiliza la herramienta de escaneo de red SoftPerfect Network Scanner (netscan) para buscar otros objetivos en la red, junto con comandos de PowerShell para enumerar puntos finales. La variante también identifica las cuentas de usuario observando los inicios de sesión exitosos en el visor de eventos de Windows y utiliza una variante modificada de la herramienta PSnmap de código abierto.

Los operadores de CACTUS ransomware utilizan múltiples herramientas legítimas (por ejemplo, Splashtop, AnyDesk, SuperOps RMM) para lograr acceso remoto y utilizan Cobalt Strike y la herramienta de proxy Chisel en actividades de post-explotación.

Una vez que se han escalado los privilegios en una máquina, los atacantes utilizan un script por lotes para desinstalar las soluciones antivirus populares instaladas en la máquina.

Para la extracción de datos, CACTUS utiliza la herramienta Rclone y un script de PowerShell llamado TotalExec, que fue utilizado en el pasado por los operadores del ransomware BlackBasta, para automatizar el proceso de cifrado.

Actualmente no está claro si el descifrador proporcionado por los operadores del ransomware a las víctimas que han pagado el rescate es confiable.

¿Encontraste este artículo interesante? Sigue a DDR en TwitterMastodonLinkedInTiktok y Facebook suscríbete a nuestra newsletter.

1 Comentario

Comments are closed.