Вредоносные атаки направлены на получение внушительных выплат от своих жертв. Caktus использует традиционные тактики подобного вида ПО, такие как шифрование файлов и кража данных. Однако, зловред использует уникальные методы обхода обнаружения.
Исследователи из компании Kroll, занимающиеся расследованием корпоративных инцидентов безопасности, установили, что Caktus использует известные уязвимости в устройствах Fortinet VPN для получения доступа к сетям жертв.
Эксперты заметили, что во всех расследованных инцидентах хакер проникал в корпоративную сеть с VPN-сервера с учетной записью службы VPN. Такая схема подчеркивает важность исправления и защиты устройств VPN и других точек входа в сеть, чтобы предотвратить использование злоумышленниками известных уязвимостей.
Caktus зашифровывает сам себя
Caktus отличается от другим программ-вымогателей тем, что применяет шифрование для собственного исполняемого файла. Злоумышленник использует пакетный сценарий для получения бинарного файла шифровальщика с помощью 7-Zip. Весь процесс необычен, и исследователи считают, что это делается для предотвращения обнаружения. Caktus, по сути, шифрует себя, что затрудняет обнаружение антивирусными программами и средствами мониторинга сети.
Уже внутри сети Caktus использует запланированную задачу для постоянного доступа, а также инструмент SoftPerfect Network Scanner (netscan) для выявления интересных целей в сети. Киберпреступники используют команды PowerShell для установления конечных точек, идентификации учетных записей пользователей и проверки связи с удаленными узлами. Исследователи Kroll обнаружили, что Caktus также использовал модифицированный вариант инструмента PSnmap с открытым исходным кодом и пробовала несколько методов удаленного доступа с помощью легитимных инструментов и прокси-инструмента Chisel.
Caktus похищает данные жертв, которые передаются в облачное хранилище с помощью инструмента Rclone. После кражи данных хакеры используют сценарий PowerShell под названием TotalExec для автоматизации развертывания процесса шифрования. Процедура шифрования Caktus уникальна, но аналогичный процесс шифрования недавно использовался бандой BlackBasta.
Последствия атак Caktus
В сети нет публичной информации о выкупах данных после атак Caktus, но источники предполагают, что их суммы могут исчисляться миллионами долларов. Хакеры угрожают жертвам опубликовать украденные данные, если они не получат оплату. Таким образом, используется подход двойного вымогательства, когда злоумышленники предварительно похищают данные перед шифрованием. При этом для проникновения в корпоративные сети используются уязвимости Fortinet VPN.
Как защититься от шифровальщика Caktus?
Для защиты от последних и наиболее разрушительных стадий атаки шифровальщиком рекомендуется своевременно устанавливать последние обновления ПО, отслеживать сеть на наличие подозрительной активности и быстро реагировать на инциденты.
Организациям следует уделить первостепенное внимание исправлению уязвимостей в VPN-устройствах и других точках входа во внутреннюю сеть, чтобы злоумышленники не смогли воспользоваться известными уязвимостями. Кроме того, внедрение многофакторной аутентификации и решений для защиты конечных точек может обеспечить дополнительный уровень защиты от программ-вымогателей.
Угрозы безопасности
• Apple устранила более 50 уязвимостей в свежих обновлениях iOS, iPadOS и macOS
• Вирус Triada на поддельных смартфонах крадёт Telegram-аккаунты и криптовалюту
• Атака «Фишинг как услуга» использует DNS-over-HTTPS для обхода обнаружения
• Mozilla предупреждает о критической уязвимости обхода песочницы в Firefox для Windows
• Популярные расширения Chrome взломали. Как защитить себя?
• Keenetic подтвердила взлом приложения для управления роутерами: Утекли данные более миллиона пользователей, большинство – из России