New Cactus ransomware encrypts itself to evade antivirus
แรนซัมแวร์ตัวใหม่ที่ชื่อ Cactus ใช้ประโยชน์จากช่องโหว่ในอุปกรณ์ VPN เพื่อการเข้าถึงเครือข่ายของหน่วยงานเชิงพาณิชย์ขนาดใหญ่ในเบื้องต้น การโจมตีของ Cactus ransomware นั้นเริ่มตั้งแต่เดือนมีนาคม นอกจากจะสามารถเข้ารหัสไฟล์และการโจรกรรมข้อมูลแล้ว ผู้โจมตียังเพิ่มความสามารถในการหลีกเลี่ยงการตรวจจับเข้าไปด้วย นักวิจัยจากบริษัทที่ปรึกษาด้านการสืบสวนและความเสี่ยงของ Kroll เชื่อว่า Cactus ransomware ได้รับการเข้าถึงเบื้องต้นในเครือข่ายของเหยื่อโดยการใช้ประโยชน์จากช่องโหว่ในอุปกรณ์ VPN ของ Fortinet สิ่งที่ทำให้ Cactus ransomware แตกต่างจากการแรนซัมแวร์ตัวอื่นๆ คือการใช้การเข้ารหัสเพื่อป้องกันไบนารีของแรนซัมแวร์ โดยใช้ชุดสคริปต์เพื่อรับไบนารีเข้ารหัสโดยใช้ 7-Zip ในขณะที่ไฟล์ ZIP ดั้งเดิมจะถูกลบออกและไบนารีจะถูกปรับใช้ด้วยแฟล็กเฉพาะที่อนุญาตให้ดำเนินการได้ กระบวนการทั้งหมดนั้นใช้เพื่อป้องกันการตรวจจับตัวเข้ารหัสแรนซัมแวร์
นักวิจัยของ Kroll อธิบายว่ามีโหมดการดำเนินการหลักอยู่สามโหมด โดยแต่ละโหมดจะเลือกโดยใช้สวิตช์ command line เฉพาะ: การตั้งค่า (-s), การกำหนดค่าการอ่าน (-r) และการเข้ารหัส (-i) อาร์กิวเมนต์ -s และ -r ช่วยให้ผู้โจมตีสามารถตั้งค่าการคงอยู่และจัดเก็บข้อมูลในไฟล์ C:ProgramData tuser.dat ที่ตัวเข้ารหัสจะอ่านในภายหลังเมื่อรันด้วยอาร์กิวเมนต์บรรทัดคำสั่ง -r ในการเข้ารหัสไฟล์จะใช้ AES key เฉพาะที่ผู้โจมตีรู้จักเท่านั้น และจะต้องระบุโดยใช้อาร์กิวเมนต์บรรทัดคำสั่ง -i โดยคีย์นี้จำเป็นสำหรับการถอดรหัสไฟล์การกำหนดค่าของแรนซัมแวร์ และ RSA public key ที่จำเป็นในการเข้ารหัสไฟล์ มีให้ในรูปแบบสตริง HEX ที่ฮาร์ดโค้ดในไบนารีตัวเข้ารหัส การถอดรหัสสตริง HEX จะให้ข้อมูลที่เข้ารหัสส่วนหนึ่งซึ่งปลดล็อกด้วย AES key โดยพื้นฐานแล้ว CACTUS ransomware จะเข้ารหัสตัวเองเพื่อทำให้ยากต่อการตรวจจับและช่วยหลบเลี่ยงโปรแกรมป้องกันไวรัสและเครื่องมือตรวจสอบเครือข่าย แต่การเรียกใช้ไบนารีด้วยคีย์ที่ถูกต้องสำหรับพารามิเตอร์ -i (การเข้ารหัส) จะปลดล็อกข้อมูลและอนุญาตให้มัลแวร์ค้นหาไฟล์และเริ่มกระบวนการเข้ารหัสแบบ multi-thread Michael Gillespie ผู้เชี่ยวชาญด้านแรนซัมแวร์ยังวิเคราะห์วิธีที่ Cactus ransomware เข้ารหัสข้อมูลว่าใช้นามสกุลหลายนามสกุลสำหรับไฟล์ที่เป้าหมาย โดยขึ้นอยู่กับสถานะการประมวลผล เมื่อเตรียมไฟล์สำหรับการเข้ารหัส Cactus จะเปลี่ยนนามสกุลเป็น .CTS0 หลังจากการเข้ารหัสแล้วจะเปลี่ยนเป็น .CTS1 อย่างไรก็ตาม Gillespie อธิบายว่า Cactus ransomware ยังสามารถมี quick mode ซึ่งคล้ายกับการเข้ารหัสแบบ light encryption ทำให้การเรียกใช้มัลแวร์ใน quick mode ติดต่อกันส่งผลให้มีการเข้ารหัสไฟล์เดียวกันสองครั้งและต่อท้ายส่วนขยายใหม่หลังจากแต่ละขั้นตอน เช่น .CTS1.CTS7 โดยตัวเลขที่ส่วนท้ายของส่วนขยาย .CTS นั้นแตกต่างกันไปในหลายเหตุการณ์ที่มีสาเหตุมาจากแรนซัมแวร์ Cactus ransomware เมื่อ Cactus ransomware อยู่ในเครือข่ายแล้วผู้โจมตีจะใช้งานตามกำหนดเวลาสำหรับการเข้าถึงแบบถาวรโดยใช้แบ็คดอร์ SSH ที่เข้าถึงได้จากเซิร์ฟเวอร์คำสั่งและการควบคุม (C2) ซึ่ง Cactus ransomware จะอาศัย SoftPerfect Network Scanner (netscan) เพื่อมองหาเป้าหมายที่น่าสนใจบนเครือข่าย สำหรับการ reconnaissance ผู้โจมตีใช้คำสั่ง PowerShell เพื่อระบุ Endpoints และระบุบัญชีผู้ใช้โดยการดูการเข้าสู่ระบบที่สำเร็จใน Windows Event Viewer และ ping โฮสต์ระยะไกล
นอกจากนี้นักวิจัยยังพบว่า Cactus ransomware ใช้ตัวแปรที่แก้ไขแล้วของเครื่องมือ PSnmap แบบโอเพ่นซอร์ส ซึ่งเทียบเท่ากับ PowerShell ของ nmap network scanner หลังจากที่ทราบเครื่องมือต่างๆที่จำเป็นสำหรับการโจมตีแล้ว นักวิจัยกล่าวว่า Cactus ransomware พยายามเข้าถึงระยะไกลหลายวิธีผ่าน Splashtop, AnyDesk, SuperOps RMM ร่วมกับ Cobalt Strike และ Chisel เครื่องมือ Go-based proxy และหลังจากเพิ่มสิทธิ์ในเครื่องแล้วผู้โจมตีจะเรียกใช้ชุดสคริปต์ที่ถอนการติดตั้งผลิตภัณฑ์ป้องกันไวรัสที่ใช้บ่อยที่สุด เช่นเดียวกับการทำงานของแรนซัมแวร์ส่วนใหญ่ Cactus ransomware ยังขโมยข้อมูลจากเหยื่อ สำหรับกระบวนการนี้ ผู้โจมตีจะใช้เครื่องมือ Rclone เพื่อถ่ายโอนไฟล์ไปยังที่เก็บข้อมูลบนคลาวด์โดยตรง หลังจากการกรองข้อมูลเสร็จจะใช้สคริปต์ PowerShell ที่เรียกว่า TotalExec ซึ่งมักพบในการโจมตีแรนซัมแวร์ของ BlackBasta เพื่อปรับใช้กระบวนการเข้ารหัสโดยอัตโนมัติ Gillespie รายงานว่าการเข้ารหัสในการโจมตี Cactus ransomware นั้นไม่เหมือนใคร แม้ว่าสิ่งนี้จะไม่ได้มีลักษณะเฉพาะสำหรับ Cactus ransomware เนื่องจากกระบวนการเข้ารหัสที่คล้ายกันเพิ่งถูกนำมาใช้โดยแก๊ง BlackBasta ransomware ในขณะนี้ยังไม่มีข้อมูลอย่างเป็นทางการเกี่ยวกับค่าไถ่ที่ Cactus ransomware ต้องการจากเหยื่อ แต่ BleepingComputer ได้รับแจ้งจากแหล่งข่าวว่ามีจำนวนเป็นล้าน อย่างไรก็ตามผู้โจมตีจะขู่เหยื่อด้วยการเผยแพร่ไฟล์ที่ถูกขโมย เว้นแต่เหยื่อจะยอมจ่ายเงินค่าไถ่
https://www.bleepingcomputer.com/news/security/new-cactus-ransomware-encrypts-itself-to-evade-antivirus/