CACTUS Ransomware

CACTUS-Ransomware ist eine Malware-Variante, die erstmals im März 2023 in freier Wildbahn entdeckt wurde. Der Name der Malware leitet sich von der Lösegeldforderung ab, die sie auf den Computern der Opfer hinterlässt und die den Namen cAcTuS.readme.txt trägt. Die Malware erstellt außerdem verschlüsselte Dateien mit der Endung .cts1 Erweiterung, wobei die Zahl am Ende der Erweiterung variieren kann.

Demo anfordern Mehr erfahren

Wie funktioniert CACTUS Ransomware?

CACTUS Ransomware nutzt normalerweise Schwachstellen in der Software eines virtuellen privaten Netzwerks (VPN), um Zugriff auf eine Zielumgebung zu erhalten. Nachdem die Malware Zugriff auf das System erlangt hat, stellt sie über SSH eine Command-and-Control-Kommunikation (C2) mit ihrem Betreiber her. Es nutzt außerdem geplante Aufgaben auf dem infizierten System, um die Persistenz auch nach Neustarts aufrechtzuerhalten.

Mit einem Fußabdruck im Zielnetzwerk identifiziert die Malware mithilfe von Netzwerk-Scans potenzielle Infektionsziele im Netzwerk. Anschließend werden verschiedene Methoden zum Stehlen der Benutzeranmeldeinformationen verwendet, beispielsweise das Sammeln der Informationen aus Webbrowsern und deren Löschung aus LSASS. Diese kompromittierten Anmeldeinformationen werden dann verwendet, um die für den Angriff erforderliche Zugriffsebene zu erlangen. Hierzu gehört das Hinzufügen oder Zugreifen auf Konten auf Remote-Geräten, die die Malware verwenden kann, um sich über das Netzwerk zu verbreiten.

 

Sobald sich die Malware auf einem Gerät befindet, verwendet sie msiexec, um gängige Antivirensoftware zu deinstallieren. Die Malware enthält außerdem verschiedene Techniken, die sie vor Entdeckung schützen sollen. Dazu gehört auch die Verbreitung der Malware in verschlüsselter Form, für deren Entpacken ein AES-Schlüssel erforderlich ist. Diese Technik dient wahrscheinlich dazu, vor der Analyse der Malware zu schützen, da Forscher und Sandboxes möglicherweise nicht den passenden Entschlüsselungsschlüssel zusammen mit ihrer Kopie der Malware gesammelt haben oder die Konfigurationsparameter nicht kennen, die zum Auslösen der bösartigen Funktionalität erforderlich sind.

CACTUS ist ein Beispiel für eine Ransomware-Variante mit doppelter Erpressung. Zusätzlich zur Verschlüsselung der Daten – mit einer Kombination aus RSA und AES – versucht die Malware auch, diese zu exfiltrieren. Es wurde beobachtet, dass hierfür Rclone verwendet wird, das gestohlene Dateien in den Cloud-Speicher verschiebt. Sobald die Verschlüsselung und Exfiltration abgeschlossen sind, hinterlässt die Malware Lösegeldforderungen auf dem Computer des Benutzers.

Worauf zielt die CACTUS-Ransomware ab?

CACTUS Ransomware verwendet bekannte VPN Schwachstellen, um Zugriff auf seine Opfer zu erhalten, wodurch der Pool potenzieller Ziele auf jene Organisationen beschränkt wird, die bekanntermaßen anfällige VPN Geräte verwenden. Darüber hinaus wurde beobachtet, dass CACTUS vor allem große Unternehmen ins Visier nimmt, die über die erforderlichen Ressourcen verfügen, um einer hohen Lösegeldforderung nachzukommen.

So schützen Sie sich vor CACTUS Ransomware

CACTUS ist ein Beispiel für eine Ransomware Variante, die darauf ausgelegt ist, Unternehmensnetzwerke anzugreifen und dabei verschiedene Ausweichtechniken einzusetzen, um unbemerkt zu bleiben. Zu den bewährten Sicherheitsmethoden, die Unternehmen zum Schutz vor dieser Bedrohung implementieren können, gehören:

  • Patch-Management: CACTUS Ransomware infiziert Systeme hauptsächlich durch Ausnutzen bekannter Schwachstellen in ungepatchten VPN Systemen. Durch die zeitnahe Anwendung von Updates und Patches, sobald diese verfügbar sind, können Sie verhindern, dass die Malware diesen Zugriffsvektor verwendet.
  • Starke Authentifizierung: Diese Ransomware versucht häufig, Anmeldeinformationen von Browsern und LSASS zu stehlen, um den zum Ausführen ihrer Ziele erforderlichen Zugriff und die erforderlichen Berechtigungen zu erhalten. Durch die Implementierung einer mehrstufigen Authentifizierung (MFA) für Benutzerkonten kann CACTUS daran gehindert werden, die Passwörter zu verwenden, die es von einem infizierten Computer stiehlt.
  • Schulung der Mitarbeiter: CACTUS versucht, die Wiederverwendung von Passwörtern auszunutzen, indem Passwörter aus verschiedenen Quellen auf einen infizierten Computer übertragen werden. Die Schulung der Mitarbeiter hinsichtlich bewährter Verfahren zur Kontosicherheit kann dazu beitragen, diese Bedrohung zu verringern oder zu beseitigen.
  • Netzwerksegmentierung: CACTUS versucht, sich mithilfe von Konten, die es auf einem infizierten Computer erstellt oder kompromittiert hat, seitlich durch das Netzwerk zu bewegen. Durch die Netzwerksegmentierung werden hochwertige Systeme vom Rest des Netzwerks isoliert, sodass Angreifer schwerer auf sie zugreifen können.
  • Netzwerksicherheit: Diese Ransomware verwendet Netzwerk-Scanning- und Remote-Access-Tools, um sich durch das Netzwerk zu bewegen. Netzwerküberwachungs- und Sicherheitslösungen können diese Versuche einer lateralen Ausbreitung identifizieren und blockieren.
  • Anti-Ransomware-Lösungen: CACTUS versucht, vertrauliche Dateien zu verschlüsseln und sie über den Cloud-Speicher zu exfiltrieren. Anti-Ransomware-Lösungen können dieses bösartige Verhalten erkennen und die Malware-Infektion beseitigen.

Verhindern Sie Ransomware-Angriffe mit Check Point

Ransomware ist zu einer der größten Bedrohungen für die Daten, den Ruf und das Geschäftsergebnis von Unternehmen geworden. Moderne Ransomware-Angriffe zielen nicht nur auf den Zugriff auf Daten über Verschlüsselung ab, sondern beinhalten auch Datendiebstahl und Bloßstellung, um den Druck auf Organisationen zu erhöhen, das geforderte Lösegeld zu zahlen.

Ransomware wie CACTUS ist jedoch nur eine von mehreren Bedrohungen für die Cybersicherheit, denen Unternehmen ausgesetzt sind. Um mehr über das Ausmaß der aktuellen Cyber-Bedrohungslandschaft zu erfahren, lesen Sie Check Pointden Cybersicherheitsbericht 2024 von.

 

Check Point Harmony Endpoint bietet Organisationen die Tools, die sie zum Schutz vor Ransomware und anderen potenziellen Bedrohungen ihrer Endgeräte und Daten benötigen. Der präventionsorientierte Sicherheitsansatz zielt darauf ab, die Bedrohung zu identifizieren und zu beseitigen, bevor sie vertrauliche Daten verschlüsseln oder preisgeben kann. Um mehr über die Funktionen von Harmony Endpoint zu erfahren und wie es die Abwehr Ihres Unternehmens gegen Ransomware verbessern kann, fordern Sie eine kostenlose Demo an.

Loslegen

Schutz vor Ransomware

Endgerätesicherheit

Vollständiges Whitepaper zum Schutz vor Ransomware

Verwandte Themen

So entfernen Sie Ransomware

Doppelte Erpressung durch Ransomware

Ransomware-Erkennung

Ransomware as-a-Service (RaaS)

×
  Feedback
Diese Website verwendet Cookies für ihre Funktionalität sowie für Analyse- und Marketingzwecke. Mit der weiteren Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen finden Sie in unserem Cookies Hinweis.
OK