ISH Tecnologia: ransowmare “Cactus” tem atingido varejo e setor financeiro

A ISH Tecnologia, empresa referência nacional em cibersegurança, divulga detalhes sobre a operação do ransomware Cactus. A companhia elaborou um relatório de pesquisas, que contém informações sobre o modo de execução e os principais alvos do grupo criminoso.

Segundo a empresa, o malware disparado pelo grupo é capaz de se infiltrar em sistemas de organizações, criptografarDados sensíveis e exigir resgates de valores muito altos. Apesar de seu recente surgimento, esse software malicioso tem se disseminado de forma veloz e eficaz, e tem mirado também redes corporativas e sistemas de TI.

Além disso, a perícia da ISH revela que o Brasil é um dos países na mira do grupo, assim como Estados Unidos, Canadá, Austrália e diversos países da Europa. Os setores de finanças, varejo, seguros, transporte, manufatura e serviços são os mais afetados até o momento.

O boletim revela que a execução do malware em ocorre a partir das seguintes fases:
Acesso inicial: Para começar sua execução, o ransomware Cactus explora vulnerabilidades em aparelhos VPNs. Na sequência, há a criação de um backdoor SSH, que busca agilizar o acesso para o ator e consegue invadir os sistemas da organização.

Durante essas invasões os agentes maliciosos examinam vulnerabilidades, que podem facilitar a execução de tarefas mal-intencionadas, previamente agendadas;

Descoberta: Já instalada na rede da organização, o malware inicia um procedimento de varredura, descoberta e identificação de demais dispositivos. Nessa ação, o software utilizado é conhecido como “SoftPerfect Network Scanner (netscan)”.

Persistência: Com o objetivo de se estabelecer na rede das organizações e criar diversos pontos de acesso remoto, o ator de ameaça utiliza ferramentas como Splashtop, AnyDesk, SuperOps RMM, Cobalt Strike e Chisel.

Execução: o grupo, focado na extração de Dados, também tem o objetivo de realizar extorsões direcionadas às suas vítimas. Para acessar as informações confidenciais, o agente malicioso utiliza a ferramenta digital Rclone para automatizar esse processo de rouba de materiais.

Após a coleta de Dados, há a utilização de uma sequência de scripts (TotalExec.ps1 e o f2.bat) para criar uma conta de administrador e reiniciar o dispositivo ao serem executados. Esse processo é feito para que haja a criação e execução de um arquivo para executar a tarefa de comando C:ProgramData.exe -r.

Em dezembro de 2023, a Microsoft descobriu que um agente malicioso, conhecido como STORM-0216, realizou práticas mal-intencionadas com o ransomware Cactus. O malware, em questão, foi utilizado para criptografar códigos e informações confidenciais, e enviar esses Dados para um C2 (servidor de comando e controle).

Pesquisadores da Artic Wolf também afirmaram que o grupo de ransomwares explora vulnerabilidades como: CVE-2023-41265, CVE-2023-41266, CVE-2023-48365.

Prevenção
Por fim, a ISH elenca algumas dicas e recomendações para que ataques de malwares como esse sejam evitados:

Backup regular de Dados e informações confidenciais;

Revisão constante das contas de usuários de administrador e de serviço;

Implementação de soluções para proteção de Endpoints;

Educar os colaboradores sobre as melhores práticas de segurança cibernética.