Logiciel de rançon CACTUS

Sep 08, 2023

mer. 10 mai 2023

Laurie Iacono

Stéphane Vert

David Truman

Les analystes de Kroll Cyber ​​​​Threat Intelligence ont identifié une nouvelle souche de ransomware, nommée CACTUS, ciblant de grandes entités commerciales depuis mars 2023. Le nom "CACTUS" est dérivé du nom de fichier fourni dans la demande de rançon, cAcTuS.readme.txt, et de l'auto- nom déclaré dans la note de rançon elle-même. Les fichiers cryptés sont ajoutés avec .cts1, bien que Kroll note que le nombre à la fin de l'extension varie selon les incidents et les victimes. Kroll a observé l'exfiltration de données sensibles et l'extorsion de victimes sur le service de messagerie peer-to-peer connu sous le nom de Tox, mais un site de fuite de victime connu n'a pas été identifié au moment de l'analyse.

D'après l'expérience de Kroll, CACTUS a déployé un ensemble de tactiques, techniques et procédures (TTP) qui se chevauchent. Celles-ci incluent l'utilisation d'outils tels que Chisel, Rclone, TotalExec, les tâches planifiées et des scripts personnalisés pour désactiver le logiciel de sécurité afin de distribuer le binaire du ransomware. Kroll a observé des acteurs de la menace obtenant un accès initial grâce à l'exploitation d'appliances VPN. Fait intéressant, CACTUS a été observé en utilisant un fichier nommé ntuser.dat dans C:\ProgramData pour transmettre une clé AES afin de déchiffrer la clé publique RSA pour déchiffrer le binaire, qui est utilisé pour une exécution persistante via les tâches planifiées.

Sur la base des informations disponibles au moment de la rédaction de ce bulletin, l'exploitation initiale la plus probable de l'étape 1 du cycle de vie des intrusions Kroll est fournie via l'exploitation d'appliances VPN vulnérables. Cette tactique a été évaluée et observée comme étant un fil conducteur dans plusieurs incidents CACTUS sur lesquels Kroll a enquêté. Dans tous les cas observés, l'accès de l'auteur de la menace a été obtenu à partir d'un serveur VPN avec un compte de service VPN. Suite à cela, une porte dérobée SSH est établie vers la commande et le contrôle de l'auteur de la menace (C2) pour maintenir un accès persistant via les tâches planifiées.

Figure 1 – install.bat

MITRE ATT&CK - T1190 : Exploitation d'une application accessible au publicMITRE ATT&CK - T1021.004 : SSHMITRE ATT&CK - T1053.005 : Tâche planifiée

Une fois à l'intérieur du réseau, l'auteur de la menace effectue un dépistage interne initial via SoftPerfect Network Scanner (netscan). Les commandes PowerShell sont exécutées pour énumérer les points de terminaison, afficher les événements Windows Security 4624 pour identifier les comptes d'utilisateurs et envoyer un ping aux points de terminaison distants. La sortie de ces commandes est enregistrée dans des fichiers texte sur la machine hôte. Les fichiers de sortie sont ensuite utilisés pour l'exécution du binaire du rançongiciel.

Figure 2 – Énumération PowerShell

Kroll a également identifié une version modifiée d'un script open source qui agit comme un équivalent NMAP pour PowerShell, nommé PSnmap.ps1. Ceci est également exécuté pour identifier d'autres points de terminaison au sein du réseau.

MITRE ATT&CK - T1049 : Découverte des connexions réseau du systèmeMITRE ATT&CK - T1087.002 : Compte de domaineMITRE ATT&CK - T1018 : Découverte du système distantMITRE ATT&CK - T1087 : Découverte de compte

Pour maintenir la persistance dans l'environnement, l'auteur de la menace tente de créer un certain nombre de méthodes d'accès à distance. Kroll a identifié l'utilisation d'outils d'accès à distance légitimes tels que Splashtop, AnyDesk et SuperOps RMM, ainsi que Cobalt Strike et l'utilisation de Chisel, un outil proxy SOCKS5. Chisel aide à tunneliser le trafic à travers les pare-feu pour fournir des communications cachées au C2 de l'acteur de la menace et est probablement utilisé pour extraire des scripts et des outils supplémentaires sur le point de terminaison.

Une fois que l'auteur de la menace a établi le niveau d'accès correct (voir : Escalade), il exécute ensuite un script batch qui exploite msiexec pour désinstaller le logiciel antivirus courant via le GUID du logiciel, et dans au moins un (1) incident, le Bitdefender programme de désinstallation comme illustré à la figure 3.

Figure 3 – Section du script batch pour désactiver l'antivirus

MITRE ATT&CK - T1219 : Logiciel d'accès à distanceMITRE ATT&CK - T1090 : ProxyMITRE ATT&CK - T1562.001 : Désactiver ou modifier les outils

Pour obtenir des informations d'identification suffisantes pour l'exécution et le mouvement latéral, l'auteur de la menace a généralement tenté de vider les informations d'identification des navigateurs Web des utilisateurs et de rechercher manuellement sur le disque un fichier contenant des mots de passe. En outre, ils peuvent également tenter de vider les informations d'identification LSASS pour une élévation ultérieure des privilèges. Un autre script batch est ensuite utilisé pour ajouter des comptes privilégiés aux points de terminaison distants. Cette activité est discutée plus loin dans le rapport.

Figure 4 – f1.bat Ajout de comptes d'administrateur locaux

MITRE ATT&CK - T1136 : créer un compteMITRE ATT&CK - T1555.003 : informations d'identification des navigateurs WebMITRE ATT&CK - T1003 : vidage des informations d'identification du système d'exploitation

Des mouvements latéraux ont été observés effectués par des comptes valides ou créés et le protocole de bureau à distance (RDP). Cependant, des outils de gestion à distance tels que Super Ops ont également été utilisés pour les déplacements latéraux.

MITRE ATT&CK - T1021.001 : Protocole de bureau à distance MITRE ATT&CK - T1072 : Outils de déploiement de logiciels

Comme pour de nombreux groupes de rançongiciels, les acteurs de CACTUS tentent également d'exfiltrer des données sensibles pour augmenter la pression de l'extorsion. Kroll a observé des outils d'exfiltration courants tels que Rclone, utilisés pour extraire automatiquement des fichiers vers un stockage en nuage.

MITRE ATT&CK - T1567.002 : Exfiltration vers le stockage en nuage

Une fois les données exfiltrées, l'auteur de la menace commence à se préparer à chiffrer les appareils. En utilisant un script souvent exploité par BLACKBASTA connu sous le nom de TotalExec.ps1 qui utilise PsExec pour automatiser le déploiement du chiffreur et ce cas, le script f1.bat illustré à la figure 4 et f2.bat illustré à la figure 5. Comme indiqué précédemment, le lot Le script f1.bat est déployé en premier pour créer un nouveau compte d'utilisateur administrateur qui ajoute ensuite un deuxième script nommé f2.bat en tant qu'exécution automatique au niveau de la machine avant de redémarrer l'appareil. Le f2.bat peut être vu dans la figure 6, montre un script batch utilisé pour extraire le binaire du crypteur de ransomware avec 7zip avant de supprimer le fichier zip et d'exécuter le binaire avec un indicateur défini qui permet au binaire de s'exécuter. Ceci est ensuite exécuté à distance par PsExec sur la liste des appareils dans le fichier ips.txt créé précédemment.

Figure 5 – Exécution de TotalExec.ps1

Figure 6 – Exécution f2.bat du binaire Ransomware Encryptor

Le binaire lui-même est intéressant, il porte généralement le même nom que l'ID de victime individuel utilisé pour les négociations et qui est normalement structuré en regex [a-z1-9]{4}-[a-z1-9]{4} -[a-z1-9]{4}-[a-z1-9]{4}\.exe par exemple "a12b-e4fg-c12g-zkc2.exe" où le nom avant le ".exe" agit comme le identifiant de la victime.

L'exécutable compressé UPX a 3 principaux modes d'exécution contrôlés par des commutateurs de ligne de commande. Un flux complet du processus d'exécution peut être vu dans la figure 16.

Ce mode est déclenché en passant un indicateur "-s" sur la ligne de commande et son objectif est de se configurer en tant que persistance, puis de s'appeler à nouveau lors du mode suivant.

Dans ce mode, il copiera son propre fichier exécutable dans C:\ProgramData\{Victim_ID}.exe, par exemple : C:\ProgramData\abc1-d2ef-gh3i-4jkl.exe.

Le rançongiciel écrit ensuite un fichier de configuration encodé en hexadécimal enveloppé de données inutiles dans C:\ProgramData\ntuser.dat contenant le chemin vers l'exe d'origine, une chaîne base64 qui a été transmise avec l'argument de ligne de commande "-i" avec tout ce qui reste arguments de la ligne de commande. La chaîne hexadécimale est encore obscurcie en poussant l'alignement de chaque représentation d'octet à deux caractères d'un caractère.

Figure 7 – 100 premiers octets de C:\ProgramData\ntuser.dat

Figure 8 - Données de C:\ProgramData\ntuser.dat avec décodage hexadécimal standard

Figure 9 - Données de C:\ProgramData\ntuser.dat avec décodage hexadécimal et alignement ajusté

Figure 10 - Configuration du rançongiciel cachée parmi le texte indésirable extrait de C:\ProgramData\ntuser.dat

Une fois que CACTUS a créé le fichier ntuser.dat, il procède à la création et à l'exécution d'une tâche planifiée qui exécute la commande C:\ProgramData\{Victim_ID}.exe -r

Le processus d'installation de CACTUS se termine maintenant.

Lorsqu'il est appelé à partir de la tâche planifiée avec l'option "-r", le ransomware lit le fichier ntuser.dat et extrait les trois champs.

Le processus CACTUS supprime alors le fichier exécutable référencé dans le premier champ. Il génère ensuite une autre instance de lui-même en passant dans le deuxième champ comme paramètre de l'option "–i", puis ajoute le troisième champ qui contient tous les arguments restants à la ligne de commande.

Les instances Cactus en mode de lecture de configuration se terminent maintenant.

Lorsque le Ransomware est généré sans les paramètres -s ou -r, il tentera de chiffrer le système de fichiers. Le logiciel malveillant décode une chaîne hexadécimale codée en dur. Cette chaîne hexadécimale peut facilement être trouvée dans le binaire une fois qu'il a été décompressé.

Figure 11 – Chaîne hexagonale

Une fois qu'il a décodé la chaîne hexadécimale, il procède ensuite au décryptage des données résultantes à l'aide de l'algorithme AES avec le paramètre "-i" et un vecteur d'initialisation codé en dur. Le texte brut résultant est chargé dans un objet de clé RSA publique.

Figure 12 – Déchiffrement AES de la clé RSA publique

Le logiciel malveillant recherche ensuite des fichiers dans le système de fichiers et démarre plusieurs threads pour les chiffrer. Afin de chiffrer efficacement un grand nombre de fichiers, il utilise l'implémentation d'enveloppe d'OpenSSL à partir d'une fonction liée statiquement. Tout d'abord, une clé AES aléatoire est générée pour chiffrer un fichier, puis la clé AES elle-même est chiffrée par la clé publique RSA. Cela crée une "enveloppe" qui contient le fichier crypté AES et la clé AES cryptée RSA. Par conséquent, pour déchiffrer le fichier, la clé privée RSA est requise pour extraire la clé AES.

Figure 13 – Processus de chiffrement de fichiers

Figure 14 – Cryptage de fichiers avec AES, RSA et OpenSSL

Le logiciel malveillant continue de chiffrer les fichiers jusqu'à la fin.

Une fois exécutés, les fichiers sont ajoutés avec l'extension "cts\d" avec le dernier caractère étant un chiffre interchangeable. Une note de rançon est alors créée nommée "cAcTuS.readme.txt" avec des détails sur la façon dont la victime peut négocier sur le chat TOX. La plupart des groupes de rançongiciels répertorient un site honteux, mais celui-ci n'a pas été identifié pour le moment, ni aucun autre domaine de divulgation de données.

Figure 15 – Note de rançon CACTUS

Au moment de la rédaction de ce bulletin, Kroll n'avait pas encore identifié de "site honteux" ou de blog lié à l'identification des victimes créé par CACTUS dans le but de partager les données des victimes si une rançon n'était pas payée. En termes de rançon, il n'y a actuellement pas assez de données pour fournir un prix de départ moyen. Il reste également à voir ce qui se passerait si une rançon n'était pas payée et à quel point un décrypteur fourni par un acteur malveillant pourrait être efficace.

MITRE ATT&CK - T1027.002 : Emballage logicielMITRE ATT&CK - T1486 : Données chiffrées pour impactMITRE ATT&CK - T1027 : Fichiers ou informations obscurcisMITRE ATT&CK - T1570 : Transfert latéral d'outils

Figure 16 – Exécution binaire du ransomware

Kroll a fourni un script python simple pour décoder le fichier ntuser.dat associé à CACTUS.

TA0001

T1190

Exploiter l'application publique

TA0002

T1059

Interprète de commandes et de scripts

T1053.005

Tâche planifiée

T1072

Outils de déploiement de logiciels

TA0003

T1053.005

Tâche planifiée

T1136

Créer un compte

TA0004

T1053.005

Tâche planifiée

TA0005

T1562.001

Désactiver ou modifier les outils

T1027.002

Emballage logiciel

T1027

Fichiers ou informations obscurcis

TA006

T1555.003

Informations d'identification des navigateurs Web

T1003

Vidage des informations d'identification du système d'exploitation

TA0007

T1049

Découverte des connexions réseau du système

T1087.002

Compte de domaine

T1087

Découverte de compte

T1018

Découverte du système à distance

TA0008

T1021.001

Protocole de bureau à distance

T1072

Outils de déploiement de logiciels

T1570

Transfert d'outil latéral

TA0009

T1119

Collecte automatisée

TA0010

T1567.002

Exfiltration vers Cloud Storage

TA0011

T1219

Logiciel d'accès à distance

T1090

Procuration

TA0040

T1486

Chiffrement des données pour l'impact

Kroll a identifié des recommandations relatives à cette alerte :

Surveiller l'exécution de PowerShellAssurez-vous que PowerShell est enregistré et créez des détections pour l'exécution de scripts codés

Auditer les comptes d'utilisateur, d'administrateur et de service Assurez-vous que les comptes disposent de l'accès et des privilèges appropriés. Mettre en œuvre le principe du moindre privilège.

Mettre en œuvre l'authentification multifacteurL'authentification multifacteur peut restreindre l'accès aux zones sensibles et peut empêcher les mouvements latéraux.

Examiner les stratégies de sauvegardeAssurez-vous que plusieurs sauvegardes sont effectuées et qu'au moins une sauvegarde est isolée du réseau.

L'équipe Threat Intelligence de Kroll a créé et déployé des règles de détection pour CACTUS. Si vous avez des questions, veuillez contacter votre responsable de compte technique ou soumettre un ticket d'assistance.

Si vous n'êtes pas sûr de vos capacités de détection pour CACTUS (ou toute autre variante de ransomware), contactez un expert Kroll dès aujourd'hui.

Les fichiers et hachages suivants ont été identifiés pour l'incident.

Les adresses IP externes suivantes ont été observées lors de l'incident :

Réponse aux incidents, criminalistique numérique, notification de violation, services de détection gérés, tests d'intrusion, cyber-évaluations et conseils.

Arrêtez les cyberattaques. La détection et la réponse gérées par Kroll Responder sont alimentées par des experts IR chevronnés et des renseignements sur les menaces de première ligne pour fournir une réponse inégalée.

Faites appel à des intervenants expérimentés pour gérer l'intégralité du cycle de vie des incidents de sécurité.

Kroll offre plus qu'un mandat de réponse aux incidents typique : sécurisez un véritable mandat de cyber-risque avec des capacités d'investigation numérique et de réponse aux incidents d'élite et une flexibilité maximale pour les services proactifs et de notification.

L'évaluation de la préparation aux ransomwares de Kroll aide votre organisation à éviter les attaques de ransomwares en examinant 14 domaines de sécurité cruciaux et vecteurs d'attaque.

L'expertise de Kroll établit si les données ont été compromises et dans quelle mesure. Nous découvrons des informations exploitables, ce qui vous permet de mieux vous préparer à gérer un futur incident.

Les experts en criminalistique informatique de Kroll veillent à ce qu'aucune preuve numérique ne soit négligée et assistent à toutes les étapes d'une enquête ou d'un litige, quel que soit le nombre ou l'emplacement des sources de données.

Lors d'une attaque par compromission d'e-mails professionnels (BEC), une réponse rapide et décisive peut faire une énorme différence en limitant les risques financiers, de réputation et de litige. Avec des décennies d'expérience dans les enquêtes sur les escroqueries BEC sur une variété de plates-formes et d'outils médico-légaux propriétaires, Kroll est votre partenaire de réponse BEC ultime.

Les services de résolution et de récupération des incidents cybernétiques font partie des capacités de réponse complète de Kroll, accélérant la récupération du système et minimisant les interruptions d'activité.

Validez vos cyberdéfense contre les menaces du monde réel. Les services de tests d'intrusion de classe mondiale de Kroll associent des informations de première ligne sur les menaces, des milliers d'heures d'évaluations de la cybersécurité réalisées chaque année et une équipe d'experts en cybersécurité certifiés - la base de notre approche sophistiquée et évolutive.