כופרה חדשה בשם Cactus מנצלת נקודות תורפה במכשירי VPN של Fortinet לגישה ראשונית לרשתות של ישויות מסחריות גדולות. כופרת Cactus פעילה לפחות מאז חודש מרץ ובעוד שפושעי הסייבר המפעילים את הכופרה אימצו את הטקטיקות הרגילות הנראות במתקפות כופרה – הצפנת קבצים וגניבת נתונים, הם הוסיפו פעולה נוספת כדי למנוע זיהוי. חוקרים בחברת חקירות תאגידים וייעוץ סיכונים – Kroll, מאמינים שכופרת Cactus משיגה גישה ראשונית לרשת הקורבן על ידי ניצול נקודות תורפה ידועות במכשירי VPN של Fortinet ומה שמייחד את Cactus מכופרות אחרות, הוא השימוש בהצפנה כדי להגן על הכופרה עצמה. כופרת Cactus בעצם מצפינה את עצמה, מה שמקשה על זיהויה ועוזר לה להתחמק מכלי אנטי וירוס וניטור רשת.
לפי חוקרי Kroll, מסתמכת כופרת Cactus על סורק רשת SoftPerfect (netscan) כדי לחפש יעדים מעניינים ברשת. לבירור מעמיק יותר, משתמשים פושעי הסייבר בפקודות PowerShell כדי למנות נקודות קצה, לזהות חשבונות משתמשים על ידי צפייה בכניסות מוצלחות ב- Windows Event Viewer ו- ping מארחים מרוחקים. החוקרים מצאו גם כי כופרת Cactus משתמשת בגרסה שונה של כלי הקוד הפתוח PSnmap, שהוא מקבילה של PowerShell לסורק הרשת nmap. כדי להשיק כלים שונים הנדרשים למתקפה, טוענים חוקרי הסייבר כי כופרת Cactus מנסה מספר שיטות גישה מרחוק באמצעות כלים לגיטימיים (כגון Splashtop, AnyDesk, SuperOps RMM) יחד עם Cobalt Strike וכלי ה- Proxy המבוסס Go Chisel. כמו כן, לאחר שהשיגו הרשאות במכונה, מריצים מפעילי Cactus סקריפט אצווה המסיר את ההתקנה של מוצרי האנטי וירוס הנפוצים ביותר.
חוקרי Kroll טוענים כי כמו רוב פעולות הכופרה, גם כופרת Cactus גונבת נתונים מהקורבן. עבור תהליך זה משתמשים פושעי הסייבר בכלי Rclone כדי להעביר קבצים ישירות לאחסון בענן. לאחר חילוץ המידע מהקורבן, משתמשים ההאקרים בסקריפט PowerShell בשם TotalExec, הנראה לעתים קרובות במתקפות הכופרה של BlackBasta, כדי להפוך את הפריסה של תהליך ההצפנה לאוטומטי.
נכון לעכשיו לא נמצא מידע פומבי על כופר שמפעילי Cactus דורשים מקורבנותיהם, אך לאתר BleepingComputer נמסר על ידי מקור שהסכומים הינם במיליוני דולרים. גם אם Cactus אכן גונבים נתונים מקורבנות, נראה שהם לא הקימו אתר הדלפת מידע כמו מפעילי כופרות אחרים אשר מבצעים סחיטה כפולה. עם זאת, מאיימים Cactus על קורבנות בפרסום הקבצים הגנובים אלא אם יקבלו תשלום.
כרגע ברור שהפריצות של Cactus עד כה ככל הנראה מינפו פגיעויות במכשיר ה- VPN של Fortinet ופעלו לפי גישת הסחיטה הכפולה הסטנדרטית על ידי גניבת נתונים לפני הצפנתם. החלת עדכוני התוכנה האחרונים מהספק, ניטור הרשת למשימות חילוץ נתונים גדולות ותגובה מהירה – אמורים להגן מהשלבים האחרונים והמזיקים ביותר של מתקפת הכופרה.
