新的Cactus勒索軟件可自行加密，以逃避反病毒軟件

一個名為Cactus的新型勒索軟件團伙一直在利用VPN設備中的漏洞，對“大型商業實體”的網絡進行初始訪問。

至少從今年3月開始，Cactus勒索軟件團伙就一直處于活躍的狀態，并向受害者索要大筆贖金。

雖然這伙新的威脅分子采用了勒索軟件攻擊中兩種常見的策略：文件加密和數據竊取，但它增添了自己的手法以免被發現。

加密配置花招

Kroll企業調查和風險咨詢公司的研究人員認為，Cactus通過利用飛塔（Fortinet）VPN設備中的已知漏洞，獲得了進入受害者網絡的初始訪問權限。

這番結論基于以下觀察結果：在調查的所有事件中，黑客都是從擁有VPN服務帳戶的VPN服務器轉而進入內部的。

Cactus與其他團伙的不同之處在于，它使用加密來保護勒索軟件二進制文件。威脅分子使用批處理腳本，借助7-Zip獲取加密器二進制文件。

原始的ZIP壓縮包被刪除，并使用允許其執行的特定標志部署二進制文件。整個過程不同尋常，研究人員表示這是為了防止勒索軟件加密器被檢測出來。

Kroll調查人員在一份技術報告中解釋道，有三種主要的執行模式，每種模式都是通過使用特定的命令行參數選項符來選擇的：設置（-s）、讀取配置（-r）和加密（-i）。

-s參數和-r參數允許威脅分子實現持久性，并將數據存儲在C:\ProgramDatatuser.dat文件中，該文件稍后由加密器在使用-r命令行參數運行時讀取。

不過，為了使文件加密成為可能，必須使用-i命令行參數，提供只有攻擊者才知道的獨特的AES密鑰。

該密鑰對于解密勒索軟件的配置文件和加密文件所需的公共RSA密鑰必不可少。它其實就是加密器二進制文件中硬編碼的十六進制（HEX）字符串。

圖1. 加密Cactus勒索軟件配置的十六進制字符串（圖片來源：Kroll）

解碼十六進制字符串提供了一段用AES密鑰解鎖的加密數據。

Kroll網絡風險副總經理Laurie Iacono告訴IT安全外媒Bleeping Computer：“CACTUS實際上對自己進行加密，使其更難被檢測出來，并幫助它逃避反病毒和網絡監控工具。”

如果使用-i（加密）參數來運行二進制文件（擁有正確的密鑰），可解鎖信息，并允許惡意軟件搜索文件，啟動多線程加密過程。

Kroll的研究人員提供了下面的示意圖，以便更好地解釋Cactus二進制文件根據所選的參數來執行的過程。

圖2. Cactus勒索軟件二進制文件的執行流程（圖片來源：Kroll）

勒索軟件專家Michael Gillespie也分析了Cactus加密數據的方式，他告訴BleepingComputer，該惡意軟件可以根據處理狀態對目標文件使用多個擴展名。

在準備加密文件時，Cactus將其擴展名更改為.CTS0。加密后，擴展名就變為了.CTS1。

然而Gillespie解釋道，Cactus也可以有“快速模式”，類似進行一輪輕加密。在快速模式和正常模式下連續運行惡意軟件會導致對同一文件進行兩次加密，并在每個過程之后附加一個新的擴展名（比如.CTS1.CTS7）。

Kroll表示，.CTS擴展名末尾的數字在多起可以追溯到Cactus勒索軟件的事件中有所不同。

一旦進入到了網絡，威脅分子使用計劃任務進行持久訪問，使用可以從指揮和控制（C2）服務器訪問的SSH后門。

據Kroll調查人員聲稱，Cactus依靠SoftPerfect網絡掃描器（netscan)在網絡上尋找有價值的目標。

為了進行更深入的偵察，攻擊者使用PowerShell命令來枚舉端點，通過在Windows事件查看器中查看成功登錄來識別用戶帳戶，并ping遠程主機。

研究人員還發現，Cactus勒索軟件使用了開源軟件PSnmap工具的修改版本，這是相當于PowerShell版的nmap網絡掃描器。

調查人員表示，為了啟動攻擊所需的各種工具，Cactus勒索軟件通過合法工具（比如Splashtop、 AnyDesk和SuperOps RMM）以及Cobalt Strike和基于Go的代理工具Chisel，嘗試多種遠程訪問方法。

Kroll調查人員表示，在提升機器上的權限后，Cactus團伙成員運行批處理腳本，從而卸載最常用的反病毒產品。

與大多數勒索軟件團伙一樣，Cactus也會竊取受害者的數據。在此過程中，威脅分子使用Rclone工具將文件直接傳輸到云存儲系統。

在竊取數據后，黑客使用了一個名為TotalExec的PowerShell腳本來自動部署加密過程，該腳本經常出現在BlackBasta勒索軟件攻擊中。

Gillespie告訴我們，Cactus勒索軟件攻擊中的加密程序是獨一無二的。盡管如此，這似乎并不是Cactus所特有的，因為最近BlackBasta勒索軟件團伙也采用了類似的加密過程。

圖3. Cactus勒索軟件的TTP（圖片來源：Kroll）

目前還沒有關于Cactus向受害者索要贖金的公開信息，但有知情人士告訴BleepingComputer，贖金高達數百萬美元。

即使黑客確實竊取了受害者的數據，他們似乎也沒有像其他從事雙重勒索活動的勒索軟件團伙那樣建立數據泄露網站。

然而，威脅分子確實威脅受害者：除非他們拿到贖金，否則將公布被盜文件。這在勒索函中很明確：

圖4. Cactus勒索函威脅要公布被盜數據（圖片來源：Kroll）

Cactus團伙、目標受害者以及黑客在拿到贖金后是否遵守諾言并提供可靠的解密器，這些方面的大量細節目前還不得而知。

目前清楚的是，黑客的入侵到目前為止很可能利用了飛塔VPN設備中的漏洞，采用了標準的雙重勒索方法，在加密數據之前竊取數據。

組織應該部署飛塔的最新軟件更新，監控網絡中的大型數據泄露任務，并快速響應，這應該可以保護組織免受勒索軟件攻擊的最后、最具破壞性的階段。