U nedavnim vijestima o kibernetičkoj sigurnosti, novi CACTUS sajber napad odnio je još dvije žrtve, dodajući to njihovom dark web portfoliju. Ovoga puta, ciljane organizacije grupe CACTUS ransomware su Astro Lighting i Orthum Bau.
Motiv ovih napada ostaje obavijen velom misterije, bez vidljivog haktivističkog plana. Međutim, uprkos navodnom CACTUS sajber napadu, čini se da obe kompanije posluju bez ikakvih vidljivih znakova sajber napada.
Grupa CACTUS ransomware bila je istaknuti haker, ostavljajući trag napada za sobom u posljednjih nekoliko mjeseci.
Prethodno je Cyber Express izvještavao o njihovim aktivnostima kada su ciljali pet visokoprofiliranih žrtava iz različitih industrija i regija širom svijeta.
Pogođeni entiteti su Seymours, Groupe Promotrans, MINEMAN Systems, Maxxd Trailers i Marfrig Global Foods.
Od marta 2023. godine, CACTUS ransomware grupa koristi višestruki pristup infiltriranju u mreže.
Njihov početni pristup često iskorištava dokumentirane ranjivosti u VPN uređajima. Kada uđu unutra, hakeri pedantno nabrajaju lokalne i mrežne korisničke naloge i identifikuju dostupne krajnje tačke.
Prilagođene skripte ulaze u igru, automatizuju implementaciju i detonaciju ransomware dekriptora putem planiranih zadataka.
Kako bi provjerio autentičnost navodnog CACTUS sajber napada, Cyber Express je kontaktirao obje pogođene kompanije. Astro Lightening nam je odgovorio: „ Nedavno smo identifikovali i obuzdali IT bezbednosni incident koji je izazvao manji poremećaj u našem poslovanju. Stvar je sada uspješno obuzdana. Astro svoje obaveze informacione sigurnosti shvata izuzetno ozbiljno. U ovom trenutku, Astro nema dodatnih komentara.” .
Jedinstvene tehnike šifriranja grupe CACTUS ransomware
Jedna od istaknutih karakteristika CACTUS-ovog ransomware enkriptora je njegova nova metoda izvršenja. Neophodan je ključ za dešifrovanje, zaštitna mjera koja je vjerovatno postavljena kako bi se izbjeglo otkrivanje od strane antivirusnog softvera.
Ovaj ključ je skriven unutar datoteke pod nazivom ntuser.dat, koja sadrži nasumični tekst i učitava se putem zakazanog zadatka. CACTUS ransomware grupa koristi raznolik skup taktika, tehnika i procedura (TTP) za izvođenje svojih napada.
Ovo uključuje korištenje alata kao što su Chisel, Rclone, TotalExec, Planirani zadaci i prilagođene skripte za zaobilaženje sigurnosnih mjera i distribuciju ransomwarea. Primjećeno je da su koristili datoteku pod nazivom ntuser.dat u okviru C:\ProgramData da proslede AES ključ za trajno izvršavanje putem planiranih zadataka.
U maju 2023. otkriveno je da je CACTUS iskorištavao poznate ranjivosti u VPN uređajima kako bi dobio početni pristup ciljanim mrežama. Ova metoda uključuje postavljanje SSH backdoor- a za uporan pristup i izvršavanje PowerShell komandi za mrežno skeniranje.
Sistematski niz koraka karakteriše CACTUS sajber napad. Koriste alate kao što su Cobalt Strike i Chisel za komandu i kontrolu, zajedno sa softverom za daljinsko praćenje i upravljanje (RMM), kao što je AnyDesk. Njihove taktike uključuju onemogućavanje sigurnosnih rješenja, izdvajanje kredencijala i eskalaciju privilegija, što kulminira eksfiltracijom podataka i implementacijom ransomwarea.
Cyber Express pomno prati razvoj ove priče. Ažuriranja će biti dostavljena čim se pojavi više informacija o ovom sajber napadu ili ako se od pogođenih organizacija dobiju bilo kakve službene izjave ili odgovori.
Izvor: The Cyber Express
