Elementi importanti dell’analisi:
- Attack vector con vulnerabilità Fortinet VPN
- Auto-encryption del ransomware stesso per effettuare bypassing
- Cambio dinamico e consecutivo delle estensioni dei files criptati
- UPX packing
- Algoritmi OpenSSL, AES OCB, ChaCha20_Poly1305
- Scheduled tasks
- Esecuzioni di restart management
- Enumerazioni shares di rete
- Utilizzo del file C:\ProgramData\ntuser.dat per la chiave pubblica dell’auto-encryption
- Crittografia dei files in “buffers”
Introduzione
Cactus Ransomware è una nuova minaccia, identificata per la prima volta nel Marzo 2023, con alcune caratteristiche particolari. Viene distribuita nelle infrastrutture compromesse utilizzando principalmente come attack vector alcune vulnerabilità di Fortinet VPN che permettono un accesso non autorizzato. La caratteristica principale di questo ransomware è l’auto-encryption, ovvero la cifratura del medesimo avviene contestualmente alla fase di deployment e questo comporta il fatto che il threat non possa essere rilevato facilmente da EDR, XDR e antimalware. Durante il processo di encryption dei files target vengono modificate in modo dinamico le estensioni utilizzate, passando da .cts0 a .cts1. Durante la fase di esecuzione il malware controlla, similmente a ciò che avviene in un accesso concorrenziale, se un file è accessibile in un determinato momento o meno.
Approfondisci l’analisi: