Kroll风险咨询和企业调查公司的网络威胁情报团队披露了他们对一种名为CACTUS的全新勒索软件的调查结果。这种勒索软件利用VPN中的已知漏洞渗透目标网络。据报道，CACTUS勒索软件运营商针对大型商业组织进行双重勒索，在加密之前窃取敏感数据。

在Kroll研究人员评估的所有事件中，黑客都使用了VPN服务器并通过VPN服务帐户获得了访问权限。但是，CACTUS与其他操作不同，因为它通过加密来保护其勒索软件二进制文件。

攻击者使用使用7-Zip的批处理脚本来获取加密器二进制文件。它删除原始ZIP存档并部署具有要执行的特定标志的二进制文件。此过程可防止检测到CACTUS勒索软件加密器。

该行动于3月启动，出于经济动机，因为研究人员认为攻击者希望从他们的目标那里获得大笔支出。CACTUS勒索软件通过利用Fortinet VPN工具中已知的缺陷获得对网络的初始访问权限。

它成功地利用易受攻击的VPN设备并设置SSH后门，以使用执行的一系列PowerShell命令来维持持久性，以执行网络扫描并检测值得加密的设备列表。

共有三种执行模式，每种模式都使用特定的命令行开关进行选择：

1. 设置 (-s)
2. 读取配置 (-r)
3. 加密（-i）

-S和-R参数让威胁参与者保持持久性并将数据保存在文件(C:\ProgramData\ntuser.dat)中，加密器在运行-r参数时读取该文件。使用只有攻击者知道的唯一AES密钥进行加密。该密钥是使用-i命令参数获得的。此密钥对于解密勒索软件的配置文件至关重要。文件加密需要公共RSA密钥，在加密器二进制文件中以硬编码的HEX字符串形式提供。

CACTUS操作员枚举网络和本地用户帐户，创建新用户帐户，并利用自定义脚本通过计划任务自动部署/引爆CACTUS勒索软件加密器。

在他们的报告中，研究人员观察到Tor消息服务的敏感数据泄露和受害者勒索。不过，到目前为止，他们还没有发现演员的任何数据泄露站点。

攻击者使用Cobalt Strike和Chisel隧道工具来建立C2通信。他们可以卸载/禁用安全解决方案并提取存储在Web浏览器和LASS（本地安全机构子系统服务）中的凭据以进行权限升级。

他们可以横向移动到多个系统并部署合法的远程监控和管理(RMM)工具，例如AnyDesk以在其被利用的网络上实现持久性，使用Black Basta勒索软件运营商以前使用的TotalExec.ps1脚本部署勒索软件，并使用Rclone工具泄露数据. 整个感染链需要3到5天才能完成。

名称CACTUS源自赎金记录中提到的文件名 - cAcTuS.readme.txt。此外，所有加密文件都附加有.cts1，但Kroll研究人员指出，扩展末尾的这个数字因受害者和事件而异。