A ISH Tecnologia, empresa nacional de cibersegurança, fez um estudo sobre a operação do ransomware Cactus que traz detalhes como o modo de execução e os principais alvos do grupo criminoso. Segundo a empresa, o malware disparado pelo grupo é capaz de se infiltrar em sistemas de organizações, criptografar dados sensíveis e exigir resgates de valores muito altos. Os setores de finanças, varejo, seguros, transporte, manufatura e serviços são os mais afetados até o momento.
CONTEÚDO RELACIONADO: E-book dá dicas para PMEs se prevenirem de ciberataque
Apesar de seu recente surgimento, esse software malicioso tem se disseminado de forma veloz e eficaz, e tem mirado também redes corporativas e sistemas de TI. Além disso, a perícia da ISH revela que o Brasil é um dos países na mira do grupo, assim como Estados Unidos, Canadá, Austrália e diversos países da Europa.
O boletim revela que a execução do malware em ocorre a partir das seguintes fases:
Acesso inicial: Para começar sua execução, o ransomware Cactus explora vulnerabilidades em aparelhos VPNs. Na sequência, há a criação de um backdoor SSH, que busca agilizar o acesso para o ator e consegue invadir os sistemas da organização. Durante essas invasões os agentes maliciosos examinam vulnerabilidades, que podem facilitar a execução de tarefas mal-intencionadas, previamente agendadas.
Descoberta: Já instalada na rede da organização, o malware inicia um procedimento de varredura, descoberta e identificação de demais dispositivos. Nessa ação, o software utilizado é conhecido como “SoftPerfect Network Scanner (netscan)”.
Persistência: Com o objetivo de se estabelecer na rede das organizações e criar diversos pontos de acesso remoto, o ator de ameaça utiliza ferramentas como Splashtop, AnyDesk, SuperOps RMM, Cobalt Strike e Chisel.
Execução: o grupo, focado na extração de dados, também tem o objetivo de realizar extorsões direcionadas às suas vítimas. Para acessar as informações confidenciais, o agente malicioso utiliza a ferramenta digital Rclone para automatizar esse processo de rouba de materiais.
Após a coleta de dados, há a utilização de uma sequência de scripts (TotalExec.ps1 e o f2.bat) para criar uma conta de administrador e reiniciar o dispositivo ao serem executados. Esse processo é feito para que haja a criação e execução de um arquivo para executar a tarefa de comando C:\ProgramData\.exe -r.
Em dezembro de 2023, a Microsoft descobriu que um agente malicioso, conhecido como STORM-0216, realizou práticas mal-intencionadas com o ransomware Cactus. O malware, em questão, foi utilizado para criptografar códigos e informações confidenciais, e enviar esses dados para um C2 (servidor de comando e controle).
Pesquisadores da Artic Wolf também afirmaram que o grupo de ransomwares explora vulnerabilidades como: CVE-2023-41265, CVE-2023-41266, CVE-2023-48365.
Prevenção
A ISH elenca algumas dicas e recomendações para que ataques de malwares como esse sejam evitados:
- Backup regular de dados e informações confidenciais;
- Revisão constante das contas de usuários de administrador e de serviço;
- Implementação de soluções para proteção de endpoints;
- Educar os colaboradores sobre as melhores práticas de segurança cibernética.
Participe das comunidades IPNews no Instagram, Facebook, LinkedIn e Twitter.
