El ransomware CACTUS es una cepa de malware que se descubrió por primera vez en estado salvaje en marzo de 2023. Su nombre se basa en la nota de rescate que coloca en las computadoras de las víctimas, que se llama cAcTuS.readme.txt. El malware también crea archivos cifrados con la extensión .cts1 extensión, donde el número al final de la extensión puede variar.
CACTUS ransomware suele aprovechar la vulnerabilidad del software de red privada virtual (VPN) para obtener acceso a un entorno objetivo. Tras obtener acceso al sistema, el malware establece comunicaciones de mando y control (C2) con su operador a través de SSH. También aprovecha las tareas programadas en el sistema infectado para mantener la persistencia en los reinicios.
Con una huella en la red objetivo, el malware emplea el escaneado de red para identificar objetivos potenciales de infección en la red. A continuación, emplea varios métodos para robar las credenciales de los usuarios, como recopilarlas de los navegadores sitio web y volcarlas de LSASS. Estas credenciales comprometidas se emplean para obtener el nivel de acceso necesario para realizar el ataque. Esto incluye agregar o acceder a cuentas en dispositivos remotos que el malware puede emplear para propagar a través de la red.
Una vez en un dispositivo, el malware emplea msiexec para desinstalar el software antivirus común. El malware también incorpora varias técnicas diseñadas para protegerlo contra la detección, incluida la distribución del malware de forma encriptada que requiere una clave AES para descomprimirlo. Es probable que esta técnica esté diseñada para proteger contra el análisis del malware, ya que es posible que los investigadores y las cajas de arena no recogieron la clave de descifrado adecuada junto a su copia del malware o desconozcan los parámetros de configuración necesarios para activar su funcionalidad maliciosa.
CACTUS es un ejemplo de variante de ransomware de doble extorsión. Además de cifrar los datos -con una combinación de RSA y AES-, el malware también intenta exfiltrarlos. Se observó que para ello emplea Rclone, que traslada los archivos robados al espacio en la nube. Una vez que el cifrado y la exfiltración se completaron, el malware publica notas de rescate en la computadora del usuario.
CACTUS ransomware emplea la vulnerabilidad conocida de VPN para acceder a sus víctimas, lo que limita su grupo de objetivos potenciales a aquellas organizaciones que emplean dispositivos VPN vulnerables conocidos. Además, se observó que CACTUS se dirige principalmente a grandes compañías, que tienen los recursos necesarios para cumplir con una gran solicitud de rescate.
CACTUS es un ejemplo de una ransomware variante diseñada para atacar la red corporativa mientras emplea diversas técnicas de evasión para volar bajo el radar. Algunas de las mejores prácticas de seguridad que las organizaciones pueden implementar para proteger contra esta amenaza incluyen:
El ransomware se convirtió en una de las amenazas más importantes para los datos, la reputación y los resultados de las organizaciones. El ataque moderno de ransomware no sólo amenaza con el acceso a los datos mediante cifrado, sino que también incorpora el robo de datos y la vergüenza para aumentar la presión sobre las organizaciones para que paguen el rescate exigido.
Sin embargo, el ransomware como CACTUS es sólo una de las diversas amenazas a la ciberseguridad a las que se enfrentan las compañías. Para saber más sobre el alcance del panorama actual de las ciberamenazas, consulte el Reporte sobre ciberseguridad 2024 de Check Point.
Check Point Harmony Endpoint ofrece a las organizaciones las herramientas que necesitan para proteger contra ransomware y otras amenazas potenciales para su terminal y sus datos. Su enfoque de seguridad centrado en la prevención está diseñado para identificar y erradicar la amenaza antes de que pueda cifrar o filtrar datos confidenciales. Para obtener más información sobre las capacidades de Harmony Endpoint y cómo puede mejorar las defensas de su organización contra el ransomware, aplicar una demostración gratis.