CACTUS Ransomware

¿Cómo funciona el ransomware CACTUS?

CACTUS ransomware suele aprovechar la vulnerabilidad del software de red privada virtual (VPN) para obtener acceso a un entorno objetivo. Tras obtener acceso al sistema, el malware establece comunicaciones de mando y control (C2) con su operador a través de SSH. También aprovecha las tareas programadas en el sistema infectado para mantener la persistencia en los reinicios.

Con una huella en la red objetivo, el malware emplea el escaneado de red para identificar objetivos potenciales de infección en la red. A continuación, emplea varios métodos para robar las credenciales de los usuarios, como recopilarlas de los navegadores sitio web y volcarlas de LSASS. Estas credenciales comprometidas se emplean para obtener el nivel de acceso necesario para realizar el ataque. Esto incluye agregar o acceder a cuentas en dispositivos remotos que el malware puede emplear para propagar a través de la red.

Una vez en un dispositivo, el malware emplea msiexec para desinstalar el software antivirus común. El malware también incorpora varias técnicas diseñadas para protegerlo contra la detección, incluida la distribución del malware de forma encriptada que requiere una clave AES para descomprimirlo. Es probable que esta técnica esté diseñada para proteger contra el análisis del malware, ya que es posible que los investigadores y las cajas de arena no recogieron la clave de descifrado adecuada junto a su copia del malware o desconozcan los parámetros de configuración necesarios para activar su funcionalidad maliciosa.

CACTUS es un ejemplo de variante de ransomware de doble extorsión. Además de cifrar los datos -con una combinación de RSA y AES-, el malware también intenta exfiltrarlos. Se observó que para ello emplea Rclone, que traslada los archivos robados al espacio en la nube. Una vez que el cifrado y la exfiltración se completaron, el malware publica notas de rescate en la computadora del usuario.

Cómo proteger contra el ransomware CACTUS

CACTUS es un ejemplo de una ransomware variante diseñada para atacar la red corporativa mientras emplea diversas técnicas de evasión para volar bajo el radar. Algunas de las mejores prácticas de seguridad que las organizaciones pueden implementar para proteger contra esta amenaza incluyen:

• Gestión de parches: CACTUS ransomware infecta principalmente los sistemas aprovechando vulnerabilidades conocidas en sistemas VPN sin parchear. Aplicar rápidamente las actualizaciones y los parches cuando estén disponibles puede impedir que el malware emplee este vector de acceso.
• Autenticación fuerte: Este ransomware suele intentar robar credenciales de navegadores y LSASS para obtener el acceso y los privilegios necesarios para llevar a cabo sus objetivos. La implementación de la autenticación de múltiples factores (MFA) para las cuentas de usuario puede impedir que CACTUS emplee las contraseñas que roba de una computadora infectada.
• Educación de los empleados: CACTUS intenta explotar la reutilización de contraseñas volcando contraseñas de varias fuentes en una computadora infectada. Capacitar a los empleados sobre las mejores prácticas de seguridad de cuentas puede ayudar a reducir o eliminar esta amenaza.
• Segmentación roja: CACTUS intenta mover lateralmente a través del rojo empleando cuentas que creó o comprometido desde una computadora infectada. La segmentación de la red aísla los sistemas de alto valor del resto de la red, lo que dificulta el acceso de un atacante.
• red Seguridad: Este ransomware emplea herramientas rojas de escaneado y acceso remoto para mover por el rojo. Las soluciones de supervisión y seguridad de la red pueden identificar y bloquear estos intentos de movimiento lateral.
• Soluciones Anti-ransomware: CACTUS intenta cifrar los archivos sensibles y exfiltrarlos a través del almacenamiento en nube. Las soluciones antiransomware pueden identificar este comportamiento malicioso y erradicar la infección de malware.