Шифровальщик Caktus создает сложную ситуацию в Интернете

2023-05-09 6143 комментарии
Новая программа-вымогатель Caktus используется для атак на крупные коммерческие ресурсы с марта этого года. Злоумышленники используют уязвимости VPN-устройств для получения первоначального доступа к сетям

Вредоносные атаки направлены на получение внушительных выплат от своих жертв. Caktus использует традиционные тактики подобного вида ПО, такие как шифрование файлов и кража данных. Однако, зловред использует уникальные методы обхода обнаружения.

Исследователи из компании Kroll, занимающиеся расследованием корпоративных инцидентов безопасности, установили, что Caktus использует известные уязвимости в устройствах Fortinet VPN для получения доступа к сетям жертв.

Эксперты заметили, что во всех расследованных инцидентах хакер проникал в корпоративную сеть с VPN-сервера с учетной записью службы VPN. Такая схема подчеркивает важность исправления и защиты устройств VPN и других точек входа в сеть, чтобы предотвратить использование злоумышленниками известных уязвимостей.

Caktus зашифровывает сам себя

Caktus отличается от другим программ-вымогателей тем, что применяет шифрование для собственного исполняемого файла. Злоумышленник использует пакетный сценарий для получения бинарного файла шифровальщика с помощью 7-Zip. Весь процесс необычен, и исследователи считают, что это делается для предотвращения обнаружения. Caktus, по сути, шифрует себя, что затрудняет обнаружение антивирусными программами и средствами  мониторинга сети.

Уже внутри сети Caktus использует запланированную задачу для постоянного доступа, а также инструмент SoftPerfect Network Scanner (netscan) для выявления интересных целей в сети. Киберпреступники используют команды PowerShell для установления конечных точек, идентификации учетных записей пользователей и проверки связи с удаленными узлами. Исследователи Kroll обнаружили, что Caktus также использовал модифицированный вариант инструмента PSnmap с открытым исходным кодом и пробовала несколько методов удаленного доступа с помощью легитимных инструментов и прокси-инструмента Chisel.

Caktus похищает данные жертв, которые передаются в облачное хранилище с помощью инструмента Rclone. После кражи данных хакеры используют сценарий PowerShell под названием TotalExec для автоматизации развертывания процесса шифрования. Процедура шифрования Caktus уникальна, но аналогичный процесс шифрования недавно использовался бандой BlackBasta.

Последствия атак Caktus

В сети нет публичной информации о выкупах данных после атак Caktus, но источники предполагают, что их суммы могут исчисляться миллионами долларов. Хакеры угрожают жертвам опубликовать украденные данные, если они не получат оплату. Таким образом, используется подход двойного вымогательства, когда злоумышленники предварительно похищают данные перед шифрованием. При этом для проникновения в корпоративные сети используются уязвимости Fortinet VPN.

Как защититься от шифровальщика Caktus?

Для защиты от последних и наиболее разрушительных стадий атаки шифровальщиком рекомендуется своевременно устанавливать последние обновления ПО, отслеживать сеть на наличие подозрительной активности и быстро реагировать на инциденты.

Организациям следует уделить первостепенное внимание исправлению уязвимостей в VPN-устройствах и других точках входа во внутреннюю сеть, чтобы злоумышленники не смогли воспользоваться известными уязвимостями. Кроме того, внедрение многофакторной аутентификации и решений для защиты конечных точек может обеспечить дополнительный уровень защиты от программ-вымогателей.

© .
Комментарии и отзывы

Нашли ошибку?

Новое на сайте