Un grupo de ciberdelincuentes ha estado comprometiendo redes corporativas durante los dos últimos meses y ha estado implementando un nuevo ransomware que los investigadores han llamado CACTUS.
En los ataques vistos hasta el momento, obtiene acceso explotando vulnerabilidades conocidas en dispositivos VPN, se mueve lateralmente a otros sistemas e implementa herramientas legítimas de administración y monitorización remota para lograr la persistencia en la red.
"La denominación CACTUS se deriva del nombre de archivo proporcionado en la nota de rescate, cAcTUS.readme.txt, y el nombre autodeclarado dentro de la propia nota”, según Kroll Cyber Threat Intelligence. Los archivos cifrados se adjuntan con .cts1, aunque la empresa de ciberseguridad señala que el número al final de la extensión varía según los incidentes y las víctimas. Además, la exfiltración de datos confidenciales y la extorsión se hace a través de conocidos servicios de mensajería como Tox.
¿Cómo se desarrolla el ataque del ransomware CACTUS?
Según los especialistas, los ciberdelincuentes utilizan herramientas legítimas como Cobalt Strike (herramienta de seguridad para pruebas de penetración), y una herramienta de tunelización conocida como Chisel (para comando y control), junto con el software de administración y monitoreo remoto (RMM) AnyDesk, para enviar archivos a los hosts infectados.
Además, utilizan un script por lotes para desinstalar las soluciones de antivirus de la máquina y, de esa manera, extraer credenciales de navegadores web y el servicio de subsistema de autoridad de seguridad local (LSASS) para escalar privilegios. Con esta última función, le sigue el movimiento lateral y el despliegue del ransomware mediante un script de PowerShell, que tiene la particularidad de encriptarse a sí mismo, lo que agrega más dificultad de detección por sobre las mencionadas anteriormente.
En base la información que hay hasta el momento sobre este ataque, la intrusión se facilita a través de servidores y sitios web públicos vulnerables, agregando que, hasta el momento no está claro si el descifrador proporcionado por los operadores del ransomware a las víctimas que han pagado el rescate es confiable, motivo por el cual se aconseja a las empresas que tomen medidas urgentes para mantener los sistemas actualizados y hacer cumplir el principio de privilegio mínimo (PoLP).
Recomendaciones para la mitigación
- - Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
- - Las campañas de phishing se caracterizan por tener faltas de ortografía o errores en el diseño. Revisa el contenido con detención, y desconfía de correos con imperfecciones.
- - Desconfía de los correos alarmantes. Si un mensaje indica o incentiva a tomar decisiones apresuradas o en un tiempo limitado, probablemente se trata de phishing.
- - Disponer de sistemas antispam para correos electrónicos, de esta manera se reducen las posibilidades de infección a través de campañas masivas de malspam por correo electrónico.
- - Proteger el protocolo RDP.
- - Tener políticas de respaldo periódico que se almacenen fuera de la red organizacional.
- - Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.
- - Mantener una buena estrategia de respaldo de información: sistemas de copias de seguridad que deben estar aisladas de la red; y políticas de seguridad. Lo anterior permitirá neutralizar el ataque, restaurar las operaciones y evitar el pago del rescate.
- - Actualizar los equipos con Windows a las últimas versiones.
- - Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
- - Establecer políticas de seguridad en el sistema para impedir la ejecución de ficheros desde directorios comúnmente utilizados por Ransomware (App Data, Local App Data, etc.).
- - Mantener listas de control de acceso para las unidades mapeadas en red restringiendo los privilegios de escritura. Con esto podrá identificar el impacto generado por el cifrado de archivos, entendiendo que el secuestro de información se producirá en todas las unidades de red mapeadas en el equipo víctima.
- - Seguir las normativas internacionales.
Más acerca del ransomware CACTUS
CACTUS es una de las últimas cepas incorporadas dentro de una amplia lista de ransomware que salieron a la luz en los últimos tiempos, junto a otras conocidas como Rapture, Gazprom , BlackBit , UNIZA , Akira y una variante de ransomware NoCry llamada Kadavro Vector.
En esta nueva cepa, una vez que los ciberdelincuentes se infiltran en la red, enumeran usuarios locales y de la red misma, utilizando una tarea programada para mantener la persistencia mediante backdoor SSH, que es una puerta trasera que permite el acceso no autorizado a través del protocolo SSH (Secure Shell), que otorga a los usuarios la capacidad de conectarse y controlar un sistema de forma remota y segura. Luego de esto, realiza un escaneo de red para identificar una lista de máquinas para el cifrado.
Podría interesarte:
7 pasos para protegerte de un ataque de ransomware
¿En qué consiste la filosofía Zero Trust?