Cactus setzt auf Verschlüsselungstrick
Neue Ransomware missbraucht Fernverwaltungs-Tools
Foto: BillyBlakkr - shutterstock.com
Cyberkriminelle haben in den vergangenen zwei Monaten Unternehmensnetzwerke kompromittiert und dabei ein neues Ransomware-Programm eingesetzt, das von Forschern als Cactus bezeichnet wurde. Bei den bisher beobachteten Angriffen verschafften sich die Täter Zugang, indem sie bekannte Schwachstellen in VPN-Appliances ausnutzten, seitlich auf andere Systeme übergingen und legitime Fernüberwachungs- und -verwaltungs-Tools (RMM) einsetzten.
"Der Name 'Cactus' leitet sich von dem angegebenen Dateinamen cAcTuS.readme.txt und dem Namen in der Lösegeldforderung ab", erläutern Forscher von Kroll Cyber Threat Intelligence in einem neuen Bericht. "Verschlüsselte Dateien wird die Endung .cts1 angehängt. Doch dabei haben wir festgestellt, dass die Zahl am Ende der Erweiterung je nach Vorfall und Opfer variiert." Das Security-Unternehmen hat die Exfiltration sensibler Daten und die Erpressung von Opfern über den Peer-to-Peer Messaging-Dienst Tox beobachtet, aber zum Zeitpunkt der Analyse waren die Täter noch nicht bekannt.
Cactus verschlüsselt sich selbst, um Sicherheits-Tools zu umgehen
Sobald die Cactus-Angreifer Systeme mit sensiblen Daten ausfindig gemacht haben, verwenden sie das Tool Rclone, um die Informationen in Cloud-Speicherkonten zu exfiltrieren. Anschließend wird die Bereitstellung des Ransomware-Programms vorbereitet. Dazu nutzen die Kriminellen ein Skript namens TotalExec.ps1, das auch von den Angreifern hinter der BlackBasta-Ransomware verwendet wurde.
Was Cactus jedoch von anderen Operationen unterscheidet, ist, dass die Täter die Verschlüsselung zum Schutz der Ransomware-Binärdatei einsetzen. Dazu verwenden sie ein Stapelskript, um die Verschlüsselungs-Binärdatei mit 7-Zip abzurufen. Das ursprüngliche ZIP-Archiv wird entfernt und die Binärdatei wird mit einem bestimmten Flag bereitgestellt, das ihre Ausführung ermöglicht. Die Kroll-Forscher gehen davon aus, dass auf diese Weise die Erkennung durch Antivirenprogramme verhindert werden soll.
So funktioniert die Cactus-Ransomware
In allen von Kroll untersuchten Fällen verschafften sich die Angreifer zunächst über ein Dienstkonto Zugang zu einer VPN-Anwendung und setzten dann eine SSH-Backdoor ein, die eine Verbindung zu ihrem Command-and-Control-Server (C2) herstellte und über eine geplante Aufgabe ausgeführt wurde.
Unmittelbar danach wurde das Netzwerk mit einem kommerziellen Windows-Netzwerkscanner des australischen Unternehmens SoftPerfect untersucht. Weitere PowerShell-Befehle und -Skripte wurden verwendet, um die Computer im Netzwerk aufzuzählen und Benutzerkonten aus dem Windows Security-Ereignisprotokoll zu extrahieren. Ein PowerShell-basiertes Netzwerk-Scanskript namens PSnmap.ps1 wurde ebenfalls in einigen Fällen beobachtet.
Die Ransomware gibt dann LSASS-Anmeldeinformationen aus und sucht nach lokalen Dateien, die Kennwörter enthalten könnten. Ziel ist es, Konten zu identifizieren, um über das Remote-Desktop-Protokoll (RDP) und andere Methoden auf andere Systeme zuzugreifen. Um die Systeme, die sie kompromittiert haben, aufrechtzuerhalten, setzen die Angreifer RMM-Tools wie Splashtop, AnyDesk und SuperOps sowie das Cobalt Strike-Implantat oder den Chisel SOCKS5-Proxy ein. Der Missbrauch von legitimen RMM-Tools ist eine gängige Technik von Bedrohungsakteuren.
"Chisel hilft beim Tunneling des Datenverkehrs durch Firewalls, um eine versteckte Kommunikation mit dem C2 des Bedrohungsakteurs zu ermöglichen, und wird wahrscheinlich verwendet, um zusätzliche Skripte und Tools auf den Endpunkt zu ziehen", so die Kroll-Forscher. Ein solches Skript verwendet das Windows-Tool msiexec, um zu versuchen, gängige Antivirenprogramme zu deinstallieren. In einem Fall verwendeten die Angreifer sogar das Deinstallations-Tool von Bitdefender.
Lesetipp: Rorschach-Ransomware - Sicherheitsforscher warnen vor neuer Erpressersoftware
So schützen Sie sich vor der Cactus-Ransomware
Als Schutz vor der Cactus-Ransomware empfiehlt Kroll Unternehmen folgende Dinge umzusetzen:
Öffentlich zugängliche Systeme wie VPN-Appliances auf dem neuesten Stand halten,
Passwort-Manager und Zwei-Faktor-Authentifizierung implementieren,
Systeme auf die Ausführung von PowerShell überwachen und deren Verwendung protokollieren,
Administrator- und Dienstkonten überprüfen,
das Prinzip der geringsten Privilegien implementieren und
Backup-Strategien überprüfen, um mindestens ein Backup zu erstellen, das vom Unternehmensnetzwerk isoliert ist.
Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.