Ransomware: Cactus sfrutta le VPN di Fortinet

I ricercatori di Kroll hanno comunicato di aver scoperto un nuovo ransomware, chiamato Cactus, il quale sfrutta le vulnerabilità delle appliance Fortinet VPN per infiltrarsi all'interno delle reti aziendali. La tecnica adottata è quella della doppia estorsione, ma viene sfruttata pure una soluzione innovativa per evitare la rilevazione da parte degli antivirus.

Ransomware: Cactus atta tramite account del servizio VPN di Fortinet

Andando più in dettaglio, l'intrusione all'interno nelle reti aziendali avviene tramite un account del servizio VPN di Fortinet, ottenuto sfruttando vulnerabilità delle appliance. Per salvaguardare l'eseguibile del ransomware viene adoperata la crittografia AES.

I cybercriminali hanno implementato tre modalità di esecuzione a seconda dell’argomento del comando, ovvero: -s (setup) e -r (read), i quali consentono di stabilire la persistenza e memorizzare i dati nel file C:\ProgramData\ntuser.dat, e -i (encryption), che insieme all'adozione di una chiave AES consente di decifrare il file di configurazione che contiene i file da cercare e cifrare con una chiave RSA.

Un altro importante dettaglio su questo ransomware è la caratteristica di cambiare continuamente l’estensione ai file presi di mira dal processo di crittografia. Le estensioni utilizzate da Cactus sono infatti molteplici e non cambiano casualmente, ma a seconda dello stato in cui si trova il processo crittografico avviato. In una fase iniziale si assegna ai file l’estensione CTS0, poi a crittografia terminata questa diventa CTS1.

Inoltre, con l’opzione attiva di esecuzione continua del malware, sono previsti due passaggi crittografici sul medesimo file, e ogni volta viene accodato un numero diverso all'estensione già in essere.