นักวิจัยจาก Kroll บริษัทที่ปรึกษาด้านความเสี่ยง พบ Cactus Ransomware ซึ่งเป็น Ransomware กลุ่มใหม่ที่ทำการโจมตีหน่วยงานเชิงพาณิชย์ขนาดใหญ่ โดยใช้ช่องโหว่ในอุปกรณ์ VPN เพื่อการเข้าถึงเครือข่ายเป้าหมาย
Cactus Ransomware เริ่มการโจมตีตั้งแต่เดือนมีนาคม 2023 เป็นอย่างน้อย โดยเป้าหมายคือการเรียกค่าไถ่กลุ่มองค์กรขนาดใหญ่ รวมไปถึงพบว่ากลุ่ม Cactus ยังได้ใช้วิธีการเข้ารหัสตัวเองเพื่อหลบเลี่ยงการตรวจจับจาก Antivirus อีกด้วย
การเข้ารหัสตัวเองของ Cactus Ransomware
นักวิจัยคาดการณ์ว่า Cactus Ransomware ได้โจมตี และเข้าถึงเครือข่ายของเป้าหมาย โดยใช้ช่องโหว่ในอุปกรณ์ VPN ของ Fortinet เนื่องจากการตรวจสอบพบว่า ทุกการโจมตีนั้นจะเข้ามาผ่านทาง VPN server และใช้ VPN service account
ซึ่งสิ่งที่ทำให้การโจมตีของ Cactus Ransomware นั้นแตกต่างจากกลุ่มอื่นก็คือการเข้ารหัสเพื่อป้องกันไบนารีของแรนซัมแวร์จะถูกตรวจจับได้
โดยการใช้ชุดสคริปต์ 7-Zip เพื่อเข้ารหัสไบนารีไฟล์ โดย ZIP archive ดั้งเดิมจะถูกลบออก และไบนารีจะถูกปรับใช้ด้วย flag พิเศษที่สามารถดำเนินการได้ กระบวนการทั้งหมดนั้นทำไปเพื่อป้องกันการตรวจจับตัวเข้ารหัสของแรนซัมแวร์ ซึ่งมีโหมดการดำเนินการหลัก 3 โหมด โดยแต่ละโหมดจะเลือกโดยใช้คำสั่งเฉพาะ ได้แก่ :
- setup (-s) : การตั้งค่า
- read configuration (-r) : การอ่านการตั้งค่า
- encryption (-i) : การเข้ารหัส
ซึ่งอาร์กิวเมนต์ -s และ -r จะเป็นการฝังตัวในระบบ (Persistence) และจัดเก็บข้อมูลใน ไฟล์ C:\ProgramData\ntuser.dat ที่ตัวเข้ารหัสจะมาอ่านข้อมูลในภายหลัง เมื่อรันด้วยอาร์กิวเมนต์บรรทัดคำสั่ง -r
เพื่อให้การเข้ารหัสไฟล์สำเร็จ จะต้องเป็น AES key เฉพาะที่ Hacker ใช้เท่านั้น โดยจะทำงานโดยใช้อาร์กิวเมนต์บรรทัดคำสั่ง -i
รวมไปถึงคีย์นี้จะถูกใช้ในการถอดรหัสไฟล์การกำหนดค่าของแรนซัมแวร์ และ RSA public key ที่จำเป็นในการเข้ารหัสไฟล์ จะมาในรูปแบบ HEX string hardcoded ในไบนารีของตัวเข้ารหัส และการถอดรหัส HEX string จะให้ข้อมูลที่เข้ารหัสส่วนหนึ่งซึ่งจะปลดล็อกด้วยคีย์ AES
นอกจากนี้ทาง Michael Gillespie ผู้เชี่ยวชาญด้านแรนซัมแวร์พบว่า Cactus Ransomware ยังใช้นามสกุลไฟล์หลายนามสกุลสำหรับการเข้ารหัสไฟล์เป้าหมาย โดยขึ้นอยู่กับสถานะของการประมวลผลโดย เมื่อเตรียมไฟล์สำหรับการเข้ารหัส Cactus จะเปลี่ยนนามสกุลเป็น .CTS0 หลังจากการเข้ารหัสจะกลายเป็น .CTS1 รวมไปถึง Cactus Ransomware ยังมี "quick mode" เพื่อเรียกใช้มัลแวร์ในโหมดรวดเร็ว และปกติ ติดต่อกัน ส่งผลให้มีการเข้ารหัสไฟล์เดียวกันสองครั้ง และต่อท้าย extension ใหม่หลังจากแต่ละกระบวนการ (เช่น .CTS1.CTS7)
กลยุทธ์ เทคนิค และขั้นตอนการเรียกค่าไถ่ของ Cactus Ransomware
เมื่อ Cactus Ransomware สามารถเข้ามาในระบบของเป้าหมายผ่านการโจมตีช่องโหว่ในอุปกรณ์ VPN ของ Fortinet แล้ว ก็จะฝัง scheduled task เพื่อฝังตัวในระบบโดยใช้ SSH backdoor ที่เชื่อมต่อไปยัง command and control (C2) server ของ Hacker
ในขั้นตอนของการ Reconnaissance จะใช้ SoftPerfect Network Scanner (netscan) เพื่อค้นหาเป้าหมายที่น่าสนใจบนเครือข่าย และ PowerShell command เพื่อระบุเครื่อง ระบุบัญชีผู้ใช้ โดยการตรวจสอบการเข้าสู่ระบบที่สำเร็จใน Windows Event Viewer และ ping remote host รวมไปถึงเครื่องมือ open-source PSnmap Tool ที่เทียบเท่า nmap network scanner
นอกจากนี้ยังพบว่า Cactus Ransomware พยายามจะเข้าถึงจากระยะไกลด้วยวิธีการต่าง ๆ ผ่านเครื่องมือ เช่น Splashtop, AnyDesk, SuperOps RMM ร่วมกับ Cobalt Strike และ Chisel ซึ่งเป็น Go-based proxy tool
หลังจากที่สามารถเพิ่มสิทธิ์ให้กับตัวเองได้แล้ว (Privileges Escalation) Cactus Ransomware จะใช้สคริปต์เพื่อถอนการติดตั้งผลิตภัณฑ์ป้องกันไวรัสออกจากเครื่องเป้าหมาย และทำการขโมยข้อมูลจากเหยื่อโดยใช้เครื่องมือ Rclone เพื่อถ่ายโอนไฟล์ไปยังที่เก็บข้อมูลบนคลาวด์ของ Hacker
เมื่อขโมยข้อมูล และส่งข้อมูลออกไปเสร็จสิ้น Cactus Ransomware จะใช้สคริปต์ PowerShell ที่เรียกว่า TotalExec เพื่อเข้ารหัสโดยอัตโนมัติ โดยสคริปต์ PowerShell ดังกล่าวคล้ายคลึงกับที่ BlackBasta Ransomware เคยใช้ ก่อนที่จะทำการทิ้งจดหมายเรียกค่าไถ่ไว้ในเครื่อง
จากการตรวจสอบของ BleepingComputer ยังไม่พบว่า Cactus Ransomware ได้นำข้อมูลของเหยื่อที่ขโมยมาเผยแพร่ในเว็บไซต์ออนไลน์
ที่มา : bleepingcomputer
You must be logged in to post a comment.