« حمله‌ باج افزار Cactus به‌ شبکه‌ها از طریق‌ آسیب‌پذیري هاي VPN»

محققان امنیتی‌ اخیراً یک‌ باج افزار جدید به‌ نام Cactus را کشف‌ کرده اند که‌ گفته‌ می‌شود از آسیب ‌پذیری‌های‌ شناخته‌ شده در تجهیزات VPN به‌ منظور اخذ دسترسی‌ اولیه‌ به‌ شبکه‌های‌ هدف استفاده می‌ کند. این‌ باج افزار پس‌ از نفوذ به‌ شبکه‌، تلاش می‌ کند تا تعداد حساب های‌ کاربری‌ شبکه‌ و Local را محاسبه‌ نموده و در کنار این‌، به‌ دنبال هاست‌ هایی‌ که‌ در دسترس آن هستند می‌باشد و در ادامه‌ اقدام به‌ ساخت‌ حساب های‌ کاربری‌ جدید و بهره برداری‌ از اسکریپت‌های‌ سفارشی‌ شده می‌نماید تا از این‌ طریق‌، فرآیند توسعه‌ و توزیع‌ و تکثیر رمزنگار باج افزار را از طریق‌ وظایف‌ برنامه ‌ریزی‌ شده، خودکارسازی‌ نماید.

گفته‌ شده Cactus شرکت‌های‌ تجاری‌ بزرگی‌ را هدف قرار داده و حملات Double Extortion را علیه‌ کارمندان این‌ شرکت‌ها ترتیب‌ داده است‌ تا بدین‌ وسیله‌، اطلاعات حساس را قبل‌ از رمزنگاری‌ آن ها، به‌ سرقت‌ ببرد. گفته‌ شده تاکنون سایت‌ مشخصی‌ برای‌ افشاء اطلاعات سرقت‌ شده، مشاهده نشده است‌. با بهره گیری‌ از تجهیزات آسیب‌پذیر VPN، یک‌ SSH Backdoor راه اندازی‌ می‌شود تا امکان ماندگاری‌ و پایداری‌ باج افزار بر روی‌ سیستم‌ فراهم‌ شده و مجموعه‌ای‌ از دستورات پاورشل‌ نیز به‌ منظور اسکن‌ شبکه‌ و شناسایی‌ فهرست‌ دستگاه هایی‌ که‌ باید رمزنگاری‌ شوند، مورد استفاده قرار می‌گیرند. شایان ذکر است‌ این‌ باج افزار از Cobalt Strike و یک‌ ابزار tunneling برای‌ فرماندهی‌ و کنترل استفاده می‌کند و در کنار آن، از یک‌ ابزار برای‌ مدیریت‌ و پایش‌ از راه دور و نیز توزیع‌ فایل‌های‌ آلوده بر روی‌ دستگاه هدف، استفاده می‌کند.

 همچنین‌ باج افزار یاد شده اقداماتی‌ به‌ منظور حذف ابزارهای‌ امنیتی‌ و نیز استخراج اطلاعات حساب های‌ کاربری‌ از مرورگرهای‌ وب و LSASS برای‌ ارتقاء سطح‌ دسترسی‌ استفاده می‌کند. ارتقاء سطح‌ دسترسی‌ یا Privilege Escalation از طریق‌ Lateral Movement، انتقال داده ها و نیز توسعه‌ باج افزار به‌ دست‌ می‌ آید که‌ البته‌ توسعه‌ باج افزار، با استفاده از اسکریپت‌های‌ پاورشل‌ امکان پذیر می‌شود. بعد جدید Cactus، استفاده از Batch Script برای‌ استخراج باینری‌ با استفاده از نرمافزار 7-Zip می‌باشد که‌ البته‌ قبل‌ از اجرای‌ Payload مربوطه‌، پسوند فایل‌ 7z را حذف می‌نماید. این‌ باج افزار خود را رمزنگاری‌ می‌نماید که‌ این‌ موضوع، کار شناسایی‌ آن را دشوار می‌ سازد و به‌ جلوگیری‌ از کشف‌ شدن توسط‌ آنتی‌ویروس ها و نرم افزارهای‌ پایش‌ شبکه‌ کمک‌ می‌کند. به‌ نظر می‌رسد این‌ اتفاق به‌ واسطه‌ قرار داشتن‌ وبسایت‌ها و سرورها در دسترس عموم رخ داده است‌؛ این‌ موضوع، حاکی‌ از اهمیت‌ انجام اقدامات لازم از سوی‌ شرکت‌ها و سازمان ها از جمله‌ به‌روز نگه‌ داشتن‌ سیستم‌ها و اعمال PoLP می‌ باشد