Các nhà nghiên cứu của công ty tư vấn rủi ro và điều tra doanh nghiệp Kroll (Mỹ) cho biết: "Khi ở trong mạng, CACTUS cố gắng liệt kê các tài khoản người dùng và thiết bị mạng đầu cuối có thể truy cập trước khi tạo tài khoản người dùng mới, sau đó tận dụng các tập lệnh tùy chỉnh để tự động triển khai và kích hoạt bộ mã hóa thông qua các tác vụ theo lịch trình". Sau khi khai thác thành công các thiết bị dễ bị tổn thương, một cửa hậu SSH được thiết lập để duy trì quyền truy cập liên tục và một loạt các lệnh PowerShell được thực thi để tiến hành quét mạng và xác định danh sách các máy để mã hóa.
Các cuộc tấn công CACTUS cũng sử dụng và một công cụ có tên là để ra lệnh và kiểm soát, cùng với phần mềm quản lý và giám sát từ xa (RMM) như AnyDesk để đẩy các tệp đến máy chủ bị nhiễm mã độc. Sau đó tin tặc thực hiện các bước để vô hiệu hóa và gỡ cài đặt các giải pháp bảo mật cũng như trích xuất thông tin đăng nhập từ trình duyệt web và dịch vụ hệ thống để leo thang đặc quyền. Việc leo thang đặc quyền được thực hiện thành công nhờ chuyển động ngang, lọc dữ liệu và triển khai phần mềm tống tiền, bước cuối cùng đạt được bằng tập cũng đã được sử dụng.
Một khía cạnh mới của CACTUS là việc sử dụng tập lệnh để trích xuất mã nhị phân ransomware bằng 7-Zip, sau đó xóa tệp lưu trữ .7z trước khi thực thi. CACTUS có thể tự mã hóa, khiến nó khó bị phát hiện hơn và giúp trốn tránh các công cụ giám sát mạng và chống virus.
Công ty phần mềm an ninh mạng Trend Micro (Nhật Bản) nhận định: "Biến thể ransomware mới có tên CACTUS tận dụng lỗ hổng trong thiết bị VPN, cho thấy các tác nhân đe dọa tiếp tục nhắm mục tiêu vào các dịch vụ truy cập từ xa và các lỗ hổng chưa được vá để tiến hành truy cập". Nhận định này được đưa ra vài ngày sau khi Trend Micro làm sáng tỏ một loại ransomware khác có tên là Rapture có một số điểm tương đồng. CACTUS và Rapture là những cái tên mới nhất bổ sung vào danh sách dài các họ ransomware mới được đưa ra ánh sáng trong thời gian gần đây, bao gồm , , , và một biến thể ransomware NoCry có tên là .
Trường An
(Theo The Hacker News)
13:00 | 09/05/2023
10:00 | 07/07/2023
14:00 | 14/04/2023
13:00 | 04/08/2023
09:00 | 05/06/2023
09:00 | 04/04/2024
13:00 | 19/05/2021
14:00 | 23/02/2024
09:00 | 03/05/2024
12:00 | 18/05/2022
10:00 | 07/05/2024
Các chuyên gia bảo mật vừa phát hiện 3 ứng dụng có chứa mã độc trên ứng dụng Google Play dành cho Android. Nếu đã cài đặt một trong 3 ứng dụng này, người dùng nên gỡ bỏ ngay để tránh các rủi ro đáng tiếc.
09:00 | 17/04/2024
Một nhà nghiên cứu bảo mật có biệt danh Marco Croc từ Kupia Security đã được thưởng 250,000 USD vì phát hiện ra một lỗ hổng mà trong lịch sử đã cho phép tin tặc rút hàng triệu USD từ các giao thức tiền điện tử. Lỗ hổng này tái xuất hiện trong giao thức tài chính phi tập trung (DeFi) Curve Finance.
14:00 | 01/03/2024
Các nhà nghiên cứu của hãng bảo mật Trend Micro phát hiện các tác nhân đe dọa Water Curupira (một nhánh của nhóm tin tặc Black Basta) đang triển khai chiến dịch phân phối phần mềm độc hại PikaBot như một phần của chiến dịch email spam trong suốt năm 2023 vừa qua. Bài viết này sẽ phân tích hoạt động tấn công trong chiến dịch PikaBot cùng khuyến nghị về các biện pháp phòng tránh trước các mối đe dọa lừa đảo này.
09:00 | 05/02/2024
Mới đây, công ty an ninh mạng ESET (Slovakia) báo cáo về việc một nhóm tin tặc gián điệp mạng của Trung Quốc đã thực hiện các chiến dịch tấn công mạng nhắm vào các cá nhân, tổ chức ở Trung Quốc và Nhật Bản. Bằng cách lợi dụng các lỗ hổng phần mềm để thao túng các bản cập nhật, các tin tặc đã phát tán mã độc và xâm phạm dữ liệu người dùng, đồng thời tạo các backdoor cho các cuộc tấn công trong tương lai.
Microsoft đã phát hiện ra một lỗ hổng nghiêm trọng có tên là Dirty Stream đe dọa các ứng dụng Android phổ biến.
14:00 | 17/05/2024