A ISH Tecnologia, empresa referência nacional em cibersegurança, divulga detalhes sobre a operação do ransomware Cactus. A companhia elaborou um relatório de pesquisas, que contém informações sobre o modo de execução e os principais alvos do grupo criminoso.
Segundo a empresa, o malware disparado pelo grupo é capaz de se infiltrar em sistemas de organizações, criptografarDados sensíveis e exigir resgates de valores muito altos. Apesar de seu recente surgimento, esse software malicioso tem se disseminado de forma veloz e eficaz, e tem mirado também redes corporativas e sistemas de TI.
Além disso, a perícia da ISH revela que o Brasil é um dos países na mira do grupo, assim como Estados Unidos, Canadá, Austrália e diversos países da Europa. Os setores de finanças, varejo, seguros, transporte, manufatura e serviços são os mais afetados até o momento.
O boletim revela que a execução do malware em ocorre a partir das seguintes fases:
Acesso inicial: Para começar sua execução, o ransomware Cactus explora vulnerabilidades em aparelhos VPNs. Na sequência, há a criação de um backdoor SSH, que busca agilizar o acesso para o ator e consegue invadir os sistemas da organização.
Durante essas invasões os agentes maliciosos examinam vulnerabilidades, que podem facilitar a execução de tarefas mal-intencionadas, previamente agendadas;
Descoberta: Já instalada na rede da organização, o malware inicia um procedimento de varredura, descoberta e identificação de demais dispositivos. Nessa ação, o software utilizado é conhecido como “SoftPerfect Network Scanner (netscan)”.
Persistência: Com o objetivo de se estabelecer na rede das organizações e criar diversos pontos de acesso remoto, o ator de ameaça utiliza ferramentas como Splashtop, AnyDesk, SuperOps RMM, Cobalt Strike e Chisel.
Execução: o grupo, focado na extração de Dados, também tem o objetivo de realizar extorsões direcionadas às suas vítimas. Para acessar as informações confidenciais, o agente malicioso utiliza a ferramenta digital Rclone para automatizar esse processo de rouba de materiais.
Após a coleta de Dados, há a utilização de uma sequência de scripts (TotalExec.ps1 e o f2.bat) para criar uma conta de administrador e reiniciar o dispositivo ao serem executados. Esse processo é feito para que haja a criação e execução de um arquivo para executar a tarefa de comando C:ProgramData.exe -r.
Em dezembro de 2023, a Microsoft descobriu que um agente malicioso, conhecido como STORM-0216, realizou práticas mal-intencionadas com o ransomware Cactus. O malware, em questão, foi utilizado para criptografar códigos e informações confidenciais, e enviar esses Dados para um C2 (servidor de comando e controle).
Pesquisadores da Artic Wolf também afirmaram que o grupo de ransomwares explora vulnerabilidades como: CVE-2023-41265, CVE-2023-41266, CVE-2023-48365.
Prevenção
Por fim, a ISH elenca algumas dicas e recomendações para que ataques de malwares como esse sejam evitados:
Backup regular de Dados e informações confidenciais;
Revisão constante das contas de usuários de administrador e de serviço;
Implementação de soluções para proteção de Endpoints;
Educar os colaboradores sobre as melhores práticas de segurança cibernética.
Leia nesta edição:
CAPA | TECNOLOGIA
Computação Quântica está à porta
TENDÊNCIA
Explosão de automações com Robôs instruídos por IA
MERCADO
Indústria 4.0 esbarra na falta de maturidade digital
Esta você só vai ler na versão digital
APLICAÇÃO
Novos recursos de IA impulsionam o mercado jurídico
Baixe o nosso aplicativo