SOTTO ATTACCO?
POSSIAMO AIUTARTI

Cactus Ransomware: analisi malware

Elementi importanti dell’analisi:

  • Attack vector con vulnerabilità Fortinet VPN
  • Auto-encryption del ransomware stesso per effettuare bypassing
  • Cambio dinamico e consecutivo delle estensioni dei files criptati
  • UPX packing
  • Algoritmi OpenSSL, AES OCB, ChaCha20_Poly1305
  • Scheduled tasks
  • Esecuzioni di restart management
  • Enumerazioni shares di rete
  • Utilizzo del file C:\ProgramData\ntuser.dat per la chiave pubblica dell’auto-encryption
  • Crittografia dei files in “buffers”

Introduzione

Cactus Ransomware è una nuova minaccia, identificata per la prima volta nel Marzo 2023, con alcune caratteristiche particolari. Viene distribuita nelle infrastrutture compromesse utilizzando principalmente come attack vector alcune vulnerabilità di Fortinet VPN che permettono un accesso non autorizzato. La caratteristica principale di questo ransomware è l’auto-encryption, ovvero la cifratura del medesimo avviene contestualmente alla fase di deployment e questo comporta il fatto che il threat non possa essere rilevato facilmente da EDR, XDR e antimalware. Durante il processo di encryption dei files target vengono modificate in modo dinamico le estensioni utilizzate, passando da .cts0 a .cts1. Durante la fase di esecuzione il malware controlla, similmente a ciò che avviene in un accesso concorrenziale, se un file è accessibile in un determinato momento o meno.

Approfondisci l’analisi:

Articoli correlati

Cyber Risk Report H1 2024

Il Tinexta Cyber Risk Report si propone di offrire un’analisi approfondita e rigorosa delle principali minacce informatiche emerse nel primo semestre del 2024, concentrandosi su

Leggi di più »

Cyber Incident Emergency Contact

Contact us for immediate support

Abilita JavaScript nel browser per completare questo modulo.
Accettazione GDPR