從今年三月開始,出現一款專門利用VPN設備漏洞的新型勒索軟體「Cactus」,該惡意軟體除了會將竊取的個資進行加密,便進行勒索贖金外,同時也會自我加密來規避網路安全偵測。據媒體報導,駭客除了針對商業公司進行存取以外,也已經向受害者勒索高達百萬元美金的金額。
據外媒《BLEEPINGCOMPUTER》報導,「Cactus」與以往勒索軟體最大的不同,在於「防止自己被安全機制偵測到」,企業調查暨風險顧問公Kroll的研究人員指出,「Cactus」是最先藉由Fortinet VPN的漏洞問題,成功進入受害者網路,並且取得初次存取權。他們調查發現,駭客都是從具備VPN服務帳號的VPN伺服器轉而進入企業內網。關於Cactus向受害者要求贖金的資訊,目前並未公開,但報導消息指出,贖金有高達數百萬美元。
Kroll調查人員指出,Cactus會依靠SoftPerfect NetScan網路掃描器在網路找尋感興趣的目標。攻擊者會使用PowerShell命令來列舉出端點,以便進行更深入的偵察。接著會透過在Windows事件檢視器(Event Viewer)中,查看登錄成功相關紀錄以識別使用者帳號,再使用ping偵測遠端主機狀況及 IP 位址。
研究人員還發現,Cactus為了啟動攻擊所需的各種工具,會透過Splashtop、AnyDeskt及SuperOps RMM等合法工具,連同Cobalt Strike及基於Go的代理工具Chisel來嘗試多種遠端存取方法。在提升某機台權限後,Cactus 駭客會運行批次化腳本,進而卸載最常用的防毒產品。竊取受害者資料方面,駭客會採用Rclone工具來把檔案直接上傳到雲端儲存,在竊取資料後,駭客特別使用名為TotalExec的PowerShell腳本來自動部署加密過程。