O boletim sobre Ransowmare “Cactus”, divulga informações sobre o grupo, conhecido por utilizar malwares e ataques a VPNs para atingir empresas de todo o mundo
Maio de 2024 – A ISH Tecnologia, empresa referência nacional em cibersegurança, divulga detalhes sobre a operação do ransomware Cactus. A companhia elaborou um relatório de pesquisas, que contém informações sobre o modo de execução e os principais alvos do grupo criminoso.
Segundo a empresa, o malware disparado pelo grupo é capaz de se infiltrar em sistemas de organizações, criptografar dados sensíveis e exigir resgates de valores muito altos. Apesar de seu recente surgimento, esse software malicioso tem se disseminado de forma veloz e eficaz, e tem mirado também redes corporativas e sistemas de TI.
Além disso, a perícia da ISH revela que o Brasil é um dos países na mira do grupo, assim como Estados Unidos, Canadá, Austrália e diversos países da Europa. Os setores de finanças, varejo, seguros, transporte, manufatura e serviços são os mais afetados até o momento.
O boletim revela que a execução do malware em ocorre a partir das seguintes fases:
Acesso inicial: Para começar sua execução, o ransomware Cactus explora vulnerabilidades em aparelhos VPNs. Na sequência, há a criação de um backdoor SSH, que busca agilizar o acesso para o ator e consegue invadir os sistemas da organização.
Durante essas invasões os agentes maliciosos examinam vulnerabilidades, que podem facilitar a execução de tarefas mal-intencionadas, previamente agendadas;
Descoberta: Já instalada na rede da organização, o malware inicia um procedimento de varredura, descoberta e identificação de demais dispositivos. Nessa ação, o software utilizado é conhecido como “SoftPerfect Network Scanner (netscan)”.
Persistência: Com o objetivo de se estabelecer na rede das organizações e criar diversos pontos de acesso remoto, o ator de ameaça utiliza ferramentas como Splashtop, AnyDesk, SuperOps RMM, Cobalt Strike e Chisel.
Execução: o grupo, focado na extração de dados, também tem o objetivo de realizar extorsões direcionadas às suas vítimas. Para acessar as informações confidenciais, o agente malicioso utiliza a ferramenta digital Rclone para automatizar esse processo de rouba de materiais.
Após a coleta de dados, há a utilização de uma sequência de scripts (TotalExec.ps1 e o f2.bat) para criar uma conta de administrador e reiniciar o dispositivo ao serem executados.
Esse processo é feito para que haja a criação e execução de um arquivo para executar a tarefa de comando C:\ProgramData\.exe -r.
Em dezembro de 2023, a Microsoft descobriu que um agente malicioso, conhecido como STORM-0216, realizou práticas mal-intencionadas com o ransomware Cactus. O malware, em questão, foi utilizado para criptografar códigos e informações confidenciais, e enviar esses dados para um C2 (servidor de comando e controle).
Pesquisadores da Artic Wolf também afirmaram que o grupo de ransomwares explora vulnerabilidades como: CVE-2023-41265, CVE-2023-41266, CVE-2023-48365.
Prevenção
Por fim, a ISH elenca algumas dicas e recomendações para que ataques de malwares como esse sejam evitados:
Backup regular de dados e informações confidenciais;
Revisão constante das contas de usuários de administrador e de serviço;
Implementação de soluções para proteção de endpoints;
Educar os colaboradores sobre as melhores práticas de segurança cibernética.
Sobre a ISH A ISH Tecnologia, empresa do grupo ISH Tech, foi fundada em 1996, e é uma empresa líder nos segmentos de cibersegurança, infraestrutura crítica e nuvens blindadas. Ocupa a 22ª posição no ranking das 250 principais provedoras de serviços de segurança gerenciados do mundo, publicado pela MSSP Alert. Com mais de 900 colaboradores e uma carteira de mais de 600 clientes de todos os setores da economia, atende cerca de 20% das 1000 maiores além de mais de 400 empresas de médio porte e órgãos públicos. A matriz fica em Vitória (ES), e a empresa mantém filiais em São Paulo, Rio de Janeiro, Belo Horizonte, Brasília, Curitiba, Goiânia e Pernambuco e subsidiária nos EUA.