CACTUS Ransomware

El ransomware CACTUS es una cepa de malware que se descubrió por primera vez en estado salvaje en marzo de 2023. Su nombre se basa en la nota de rescate que coloca en las computadoras de las víctimas, que se llama cAcTuS.readme.txt. El malware también crea archivos cifrados con la extensión .cts1 extensión, donde el número al final de la extensión puede variar.

Solicite una demostración Más información

¿Cómo funciona el ransomware CACTUS?

CACTUS ransomware suele aprovechar la vulnerabilidad del software de red privada virtual (VPN) para obtener acceso a un entorno objetivo. Tras obtener acceso al sistema, el malware establece comunicaciones de mando y control (C2) con su operador a través de SSH. También aprovecha las tareas programadas en el sistema infectado para mantener la persistencia en los reinicios.

Con una huella en la red objetivo, el malware emplea el escaneado de red para identificar objetivos potenciales de infección en la red. A continuación, emplea varios métodos para robar las credenciales de los usuarios, como recopilarlas de los navegadores sitio web y volcarlas de LSASS. Estas credenciales comprometidas se emplean para obtener el nivel de acceso necesario para realizar el ataque. Esto incluye agregar o acceder a cuentas en dispositivos remotos que el malware puede emplear para propagar a través de la red.

 

Una vez en un dispositivo, el malware emplea msiexec para desinstalar el software antivirus común. El malware también incorpora varias técnicas diseñadas para protegerlo contra la detección, incluida la distribución del malware de forma encriptada que requiere una clave AES para descomprimirlo. Es probable que esta técnica esté diseñada para proteger contra el análisis del malware, ya que es posible que los investigadores y las cajas de arena no recogieron la clave de descifrado adecuada junto a su copia del malware o desconozcan los parámetros de configuración necesarios para activar su funcionalidad maliciosa.

CACTUS es un ejemplo de variante de ransomware de doble extorsión. Además de cifrar los datos -con una combinación de RSA y AES-, el malware también intenta exfiltrarlos. Se observó que para ello emplea Rclone, que traslada los archivos robados al espacio en la nube. Una vez que el cifrado y la exfiltración se completaron, el malware publica notas de rescate en la computadora del usuario.

¿Cuál es el objetivo del ransomware CACTUS?

CACTUS ransomware emplea la vulnerabilidad conocida de VPN para acceder a sus víctimas, lo que limita su grupo de objetivos potenciales a aquellas organizaciones que emplean dispositivos VPN vulnerables conocidos. Además, se observó que CACTUS se dirige principalmente a grandes compañías, que tienen los recursos necesarios para cumplir con una gran solicitud de rescate.

Cómo proteger contra el ransomware CACTUS

CACTUS es un ejemplo de una ransomware variante diseñada para atacar la red corporativa mientras emplea diversas técnicas de evasión para volar bajo el radar. Algunas de las mejores prácticas de seguridad que las organizaciones pueden implementar para proteger contra esta amenaza incluyen:

  • Gestión de parches: CACTUS ransomware infecta principalmente los sistemas aprovechando vulnerabilidades conocidas en sistemas VPN sin parchear. Aplicar rápidamente las actualizaciones y los parches cuando estén disponibles puede impedir que el malware emplee este vector de acceso.
  • Autenticación fuerte: Este ransomware suele intentar robar credenciales de navegadores y LSASS para obtener el acceso y los privilegios necesarios para llevar a cabo sus objetivos. La implementación de la autenticación de múltiples factores (MFA) para las cuentas de usuario puede impedir que CACTUS emplee las contraseñas que roba de una computadora infectada.
  • Educación de los empleados: CACTUS intenta explotar la reutilización de contraseñas volcando contraseñas de varias fuentes en una computadora infectada. Capacitar a los empleados sobre las mejores prácticas de seguridad de cuentas puede ayudar a reducir o eliminar esta amenaza.
  • Segmentación roja: CACTUS intenta mover lateralmente a través del rojo empleando cuentas que creó o comprometido desde una computadora infectada. La segmentación de la red aísla los sistemas de alto valor del resto de la red, lo que dificulta el acceso de un atacante.
  • red Seguridad: Este ransomware emplea herramientas rojas de escaneado y acceso remoto para mover por el rojo. Las soluciones de supervisión y seguridad de la red pueden identificar y bloquear estos intentos de movimiento lateral.
  • Soluciones Anti-ransomware: CACTUS intenta cifrar los archivos sensibles y exfiltrarlos a través del almacenamiento en nube. Las soluciones antiransomware pueden identificar este comportamiento malicioso y erradicar la infección de malware.

Evite ataques de ransomware con Check Point

El ransomware se convirtió en una de las amenazas más importantes para los datos, la reputación y los resultados de las organizaciones. El ataque moderno de ransomware no sólo amenaza con el acceso a los datos mediante cifrado, sino que también incorpora el robo de datos y la vergüenza para aumentar la presión sobre las organizaciones para que paguen el rescate exigido.

Sin embargo, el ransomware como CACTUS es sólo una de las diversas amenazas a la ciberseguridad a las que se enfrentan las compañías. Para saber más sobre el alcance del panorama actual de las ciberamenazas, consulte el Reporte sobre ciberseguridad 2024 de Check Point.

 

Check Point Harmony Endpoint ofrece a las organizaciones las herramientas que necesitan para proteger contra ransomware y otras amenazas potenciales para su terminal y sus datos. Su enfoque de seguridad centrado en la prevención está diseñado para identificar y erradicar la amenaza antes de que pueda cifrar o filtrar datos confidenciales. Para obtener más información sobre las capacidades de Harmony Endpoint y cómo puede mejorar las defensas de su organización contra el ransomware, aplicar una demostración gratis.

x
  Comentarios
Este sitio web emplea cookies para su funcionalidad y con fines analíticos y de marketing. Al continuar empleando este sitio web, usted acepta el uso de cookies. Para más información, lea nuestro Aviso sobre cookies.