Attenzione ad un nuovo software con caratteristiche di ransomware che riesce ad eludere i sistemi di sicurezza: tutto ciò che c’è da sapere
Un nuovo ransomware appare sulla scena e desta attenzione, dal momento che ha la capacità di giungere sui pc delle vittime, eludendo il controllo dei sistemi di sicurezza. Cactus, questo il nome della famiglia di virus scovata dai ricercatori di Kroll.
Stando all’indagine condotta, emerge che il software in questione, attualmente ancora dallo scarso utilizzo, impiega nuove tecniche mirate a ritardare quanto più possibile il rilevamento all’interno del dispositivo su cui è presente. Tra le usate, ad esempio, vi è la crittografia del proprio codice.
Il software di crittografia che usa necessita di una chiave anche per l’implementazione, e ciò è probabile che gli permetta di essere ‘invisibile‘ sino al momento in cui gli attori del rischio non implementino l’attacco ransomware.
Perché Cactus è così temibile
In merito alle tattiche impiegate dai malintenzionati alle spalle del software, vi è l’apertura di una backdoor che usa SSH quale protocollo per comunicare con il server C2 detenuto dai player della minaccia.
Quando all’interno del sistema ed ottenuto l’accesso, si ricorre a strumenti legittimi in grado di rendere più semplice i collegamenti da e verso il server C2. Tra questi, Spashtop, AnyDesk e SuperOps RMM.
Per il momento il ransomware in questione non è stato ancora impiegato a sufficienza da aver modo di raccogliere metriche inerenti prezzi del riscatto, così come rispetto ai rischi di un eventuale mancato pagamento.
Ad ogni modo, si legge su CyberSecurity360, il team di Kroll ha spiegato che al momento della scrittura del bollettino, non era stato ancora individuato un “sito di esposizione”, oppure un blog legato all’identificazione dei soggetti attaccati, creato da Catcus, per la condivisione dei dati delle vittime in caso di assenza del riscatto pagato.
In merito al malware, altro aspetto da sapere è che cambia continuamente l’estensione dei file messi nel mirino dal processo di crittografia. Cactus impiega svariate estensioni e il cambiamento non è casuale, ma avviene secondo lo stato del processo stesso.
Inizialmente dà ai file l’estensione “CTS0“, mentre una volta completata la crittografia, diviene “CTS1“. Ancora, con l’opzione attività di costante esecuzione del software malevolo, si prevedono 2 passaggi crittografici sul medesimo file. Tutte le volte sarà accordato un numero diverso all’estensione che già esiste. Ad esempio “CTS1.CTS3“.
Il team consiglia, per limitare il più possibile l’esposizione al rischio, anzitutto di fare l’aggiornamento di ogni servizio VPN, così come occuparsi dell’implementazione dei gestori password. Infine, di fare l’autenticazione a più fattori per ostacolare il movimento laterale all’interno delle reti infette.
