Các nhà nghiên cứu của công ty tư vấn rủi ro và điều tra doanh nghiệp Kroll (Mỹ) cho biết: "Khi ở trong mạng, CACTUS cố gắng liệt kê các tài khoản người dùng và thiết bị mạng đầu cuối có thể truy cập trước khi tạo tài khoản người dùng mới, sau đó tận dụng các tập lệnh tùy chỉnh để tự động triển khai và kích hoạt bộ mã hóa ransomware thông qua các tác vụ theo lịch trình". Sau khi khai thác thành công các thiết bị VPN dễ bị tổn thương, một cửa hậu SSH được thiết lập để duy trì quyền truy cập liên tục và một loạt các lệnh PowerShell được thực thi để tiến hành quét mạng và xác định danh sách các máy để mã hóa.
Các cuộc tấn công CACTUS cũng sử dụng Cobalt Strike và một công cụ có tên là Chisel để ra lệnh và kiểm soát, cùng với phần mềm quản lý và giám sát từ xa (RMM) như AnyDesk để đẩy các tệp đến máy chủ bị nhiễm mã độc. Sau đó tin tặc thực hiện các bước để vô hiệu hóa và gỡ cài đặt các giải pháp bảo mật cũng như trích xuất thông tin đăng nhập từ trình duyệt web và dịch vụ hệ thống để leo thang đặc quyền. Việc leo thang đặc quyền được thực hiện thành công nhờ chuyển động ngang, lọc dữ liệu và triển khai phần mềm tống tiền, bước cuối cùng đạt được bằng tập lệnh PowerShell cũng đã được Black Basta sử dụng.
Một khía cạnh mới của CACTUS là việc sử dụng tập lệnh để trích xuất mã nhị phân ransomware bằng 7-Zip, sau đó xóa tệp lưu trữ .7z trước khi thực thi. CACTUS có thể tự mã hóa, khiến nó khó bị phát hiện hơn và giúp trốn tránh các công cụ giám sát mạng và chống virus.
Công ty phần mềm an ninh mạng Trend Micro (Nhật Bản) nhận định: "Biến thể ransomware mới có tên CACTUS tận dụng lỗ hổng trong thiết bị VPN, cho thấy các tác nhân đe dọa tiếp tục nhắm mục tiêu vào các dịch vụ truy cập từ xa và các lỗ hổng chưa được vá để tiến hành truy cập". Nhận định này được đưa ra vài ngày sau khi Trend Micro làm sáng tỏ một loại ransomware khác có tên là Rapture có một số điểm tương đồng. CACTUS và Rapture là những cái tên mới nhất bổ sung vào danh sách dài các họ ransomware mới được đưa ra ánh sáng trong thời gian gần đây, bao gồm Gazprom , BlackBit , UNIZA , Akira và một biến thể ransomware NoCry có tên là Kadavro Vector.
Trường An
(Theo The Hacker News)
13:00 | 09/05/2023
10:00 | 07/07/2023
14:00 | 14/04/2023
13:00 | 04/08/2023
09:00 | 05/06/2023
09:00 | 04/04/2024
13:00 | 19/05/2021
14:00 | 23/02/2024
09:00 | 03/05/2024
12:00 | 18/05/2022
08:00 | 17/04/2024
Các chuyên gia bảo mật cảnh báo rằng thế giới đang phải đối mặt với sự phát triển của những công nghệ mới, mối đe dọa đang ngày càng gia tăng cả về phạm vi, lẫn cường độ của các cuộc tấn công.
13:00 | 26/02/2024
Tin tặc Nga có thể có liên quan đến cuộc tấn công mạng lớn nhất nhằm vào cơ sở hạ tầng quan trọng của Đan Mạch, 22 công ty liên quan đến hoạt động của ngành năng lượng của nước này đã bị nhắm mục tiêu vào tháng 5/2023.
13:00 | 17/01/2024
Các nhà cung cấp dịch vụ viễn thông, truyền thông, Internet, các nhà cung cấp dịch vụ công nghệ thông tin (CNTT) và các trang web của người Kurd ở Hà Lan đã trở thành mục tiêu của một chiến dịch gián điệp mạng mới được thực hiện bởi một nhóm tin tặc Türkiye-nexus có tên là (Rùa biển).
14:00 | 19/12/2023
Một lỗi bảo mật Bluetooth nghiêm trọng được cho là đã tồn tại trong vài năm gần đây có thể bị tin tặc khai thác để chiếm quyền kiểm soát trên các thiết bị Android, Linux, macOS và iOS.
Một lỗ hổng nghiêm trọng ảnh hưởng đến nhiều ngôn ngữ lập trình cho phép kẻ tấn công chèn lệnh vào các ứng dụng Windows.
09:00 | 03/05/2024