Yeni Cactus Fidye Yazılımı Antivirüs Yazılımından Kaçmak İçin Kendini Şifreliyor

Cactus adlı yeni bir fidye yazılımı operasyonu, “büyük ticari kuruluşların” ağlarına ilk erişim için VPN cihazlarındaki güvenlik açıklarından yararlanıyor.

Cactus fidye yazılımı operasyonu en azından Mart ayından beri aktif ve kurbanlarından büyük ödemeler bekliyor.

Hackerlar, fidye yazılımı saldırılarında görülen olağan taktikleri (dosya şifreleme ve veri hırsızlığı) benimsemiş olsa da, tespit edilmekten kaçınmak için kendi dokunuşunu ekledi.

Şifrelenmiş yapılandırma

Kroll kurumsal araştırma ve risk danışmanlığı firmasındaki araştırmacılar, Cactus’un Fortinet VPN cihazlarındaki bilinen güvenlik açıklarından faydalanarak kurban ağına ilk erişimi elde ettiğine inanmaktadır.

Değerlendirme, incelenen tüm olaylarda bilgisayar korsanının VPN hizmet hesabına sahip bir VPN sunucusundan içeri girdiği gözlemine dayanıyor.

Cactus’ü diğer operasyonlardan ayıran şey, fidye yazılımı ikilisini korumak için şifrelemenin kullanılmasıdır. Hackerlar, 7-Zip kullanarak şifreleyici ikilisini elde etmek için bir toplu komut dosyası kullanır.

Orijinal ZIP arşivi kaldırılır ve ikili, yürütülmesine izin veren belirli bir bayrakla dağıtılır. Tüm süreç olağandışıdır ve araştırmacılar bunun fidye yazılımı şifreleyicisinin tespit edilmesini önlemek için olduğunu düşünmektedir.

Teknik bir raporda Kroll araştırmacıları, her biri belirli bir komut satırı anahtarı kullanılarak seçilen üç ana yürütme modu olduğunu açıklamaktadır: switch: setup (-s), read configuration (-r), and encryption (-i).

s ve -r argümanları, hackerların kalıcılığı ayarlamasına ve verileri daha sonra -r komut satırı argümanıyla çalıştırıldığında şifreleyici tarafından okunacak olan bir C:\ProgramData\ntuser.dat dosyasında saklamasına olanak tanır.

Ancak dosya şifrelemenin mümkün olabilmesi için -i komut satırı argümanı kullanılarak yalnızca saldırganlar tarafından bilinen benzersiz bir AES anahtarı sağlanmalıdır.

Bu anahtar, fidye yazılımının yapılandırma dosyasının ve dosyaları şifrelemek için gereken genel RSA anahtarının şifresini çözmek için gereklidir. Şifreleyici ikili dosyasında sabit kodlanmış bir HEX dizesi olarak mevcuttur.

HEX dizesinin çözülmesi, AES anahtarıyla açılan bir şifrelenmiş veri parçası sağlar.

Kroll Siber Risk Genel Müdür Yardımcısı Laurie Iacono, “CACTUS esasen kendini şifreleyerek tespit edilmesini zorlaştırıyor ve antivirüs ve ağ izleme araçlarından kaçmasına yardımcı oluyor” dedi.

İkiliyi -i (şifreleme) parametresi için doğru anahtarla çalıştırmak bilgilerin kilidini açar ve kötü amaçlı yazılımın dosyaları aramasına ve çok iş parçacıklı bir şifreleme işlemi başlatmasına olanak tanır.

Kroll araştırmacıları, seçilen parametreye göre Cactus ikili yürütme sürecini daha iyi açıklamak için aşağıdaki diyagramı sağlamıştır.

Fidye yazılım uzmanı Michael Gillespie de Cactus’un verileri nasıl şifrelediğini analiz etti ve kötü amaçlı yazılımın işleme durumuna bağlı olarak hedeflediği dosyalar için birden fazla uzantı kullandığını söyledi.

Cactus bir dosyayı şifreleme için hazırlarken uzantısını .CTS0 olarak değiştiriyor. Şifrelemeden sonra, uzantı .CTS1 olur.

Ancak Gillespie, Cactus’ün hafif şifreleme geçişine benzeyen bir “hızlı mod “a da sahip olabileceğini açıkladı. Zararlı yazılımın hızlı ve normal modda arka arkaya çalıştırılması, aynı dosyanın iki kez şifrelenmesine ve her işlemden sonra yeni bir uzantı eklenmesine neden olur (örneğin .CTS1.CTS7).

Kroll, Cactus fidye yazılımına atfedilen birden fazla olayda .CTS uzantısının sonundaki sayının değiştiğini gözlemlemiştir.

Cactus fidye yazılımı TTP’leri

Ağa girdikten sonra tehdit aktörü, komuta ve kontrol (C2) sunucusundan erişilebilen bir SSH arka kapısı kullanarak kalıcı erişim için zamanlanmış bir görev kullandı.

Kroll araştırmacılarına göre Cactus, ağdaki ilginç hedefleri aramak için SoftPerfect Network Scanner’a (netscan) güveniyordu.

Daha derin keşif için saldırgan, uç noktaları numaralandırmak, Windows Olay Görüntüleyicisi’nde başarılı oturum açma işlemlerini görüntüleyerek kullanıcı hesaplarını tanımlamak ve uzak ana bilgisayarlara ping atmak için PowerShell komutlarını kullandı.

Araştırmacılar ayrıca Cactus fidye yazılımının, nmap ağ tarayıcısının PowerShell eşdeğeri olan açık kaynaklı PSnmap Aracının değiştirilmiş bir varyantını kullandığını tespit etti.

Araştırmacılar, saldırı için gerekli çeşitli araçları başlatmak için Cactus fidye yazılımının Cobalt Strike ve Go tabanlı proxy aracı Chisel ile birlikte yasal araçlar (örneğin Splashtop, AnyDesk, SuperOps RMM) aracılığıyla birden fazla uzaktan erişim yöntemi denediğini söylüyor.

Kroll araştırmacıları, Cactus operatörlerinin bir makinede ayrıcalıkları yükselttikten sonra, en yaygın kullanılan antivirüs ürünlerini kaldıran bir toplu komut dosyası çalıştırdığını söylüyor.

Çoğu fidye yazılımı operasyonunda olduğu gibi, Cactus de kurbandan veri çalıyor. Dosyaları doğrudan bulut depolama alanına aktarmak için Rclone aracını kullanır.

Verileri sızdırdıktan sonra, Hackerlar şifreleme işleminin dağıtımını otomatikleştirmek için genellikle BlackBasta fidye yazılımı saldırılarında görülen TotalExec adlı bir PowerShell komut dosyası kullandı.

Cactus operasyonu, hedef aldıkları kurbanlar ve hackerların sözlerini tutup tutmadıkları ve ödeme yapıldığı takdirde güvenilir bir şifre çözücü sağlayıp sağlamadıkları hakkında kapsamlı ayrıntılar şu anda mevcut değil.

Açık olan şey, hackerların şimdiye kadarki saldırılarının muhtemelen Fortinet VPN cihazındaki güvenlik açıklarından yararlandığı ve verileri şifrelemeden önce çalarak standart çifte şifreleme yaklaşımını izlediğidir.

Satıcıdan gelen en son yazılım güncellemelerini uygulamak, büyük veri sızıntısı görevleri için ağı izlemek ve hızlı bir şekilde yanıt vermek, bir fidye yazılımı saldırısının son ve en zarar verici aşamalarından korunmalıdır.

Kaynak: bleepingcomputer

Exit mobile version