CACTUS logiciel rançonneur est une souche de logiciel malveillant qui a été découverte pour la première fois dans la nature en mars 2023. Son nom est basé sur la note de rançon qu’il place sur les ordinateurs des victimes, qui porte le nom cAcTuS.readme.txt. Le logiciel malveillant crée également des fichiers cryptés avec le .cts1 , où le nombre à la fin de l’extension peut varier.
CACTUS logiciel rançonneur exploite généralement la vulnérabilité d’un logiciel de réseau privé virtuel (RVP) pour accéder à un environnement cible. Après avoir accédé au système, le logiciel malveillant établit des communications de commande et de contrôle (C2) avec son opérateur via SSH. Il tire également parti des tâches planifiées sur le système infecté pour maintenir la persistance entre les redémarrages.
Avec une empreinte sur le réseau cible, le logiciel malveillant utilise l’analyse du réseau pour identifier les cibles potentielles d’infection sur le réseau. Il utilise ensuite diverses méthodes pour voler les informations d’identification des utilisateurs, telles que la collecte à partir de navigateurs Web et leur vidage de LSASS. Ces informations d’identification compromises sont ensuite utilisées pour obtenir le niveau d’accès requis pour effectuer l’attaque. Cela inclut l’ajout ou l’accès à des comptes sur un appareil distant que le logiciel malveillant peut utiliser pour se propager sur le réseau.
Une fois sur un appareil, le logiciel malveillant utilise msiexec pour désinstaller les logiciels antivirus courants. Le logiciel malveillant intègre également diverses techniques conçues pour le protéger contre la détection, notamment la distribution du logiciel malveillant sous une forme cryptée qui nécessite une clé AES pour être décompressé. Cette technique est probablement conçue pour protéger contre l’analyse du logiciel malveillant, car les chercheurs et les sandbox peuvent ne pas avoir collecté la clé de déchiffrement appropriée avec leur copie du logiciel malveillant ou ne pas connaître les paramètres de configuration requis pour déclencher sa fonctionnalité malveillante.
CACTUS est un exemple de variante de logiciel rançonneur à double extorsion. En plus de chiffrer les données - avec une combinaison de RSA et AES - le logiciel malveillant tente également de les exfiltrer. Il a été observé d’utiliser Rclone pour cela, qui déplace les fichiers volés vers cloud stockage. Une fois le chiffrement et l’exfiltration terminés, le logiciel malveillant affiche des notes de rançon sur l’ordinateur de l’utilisateur.
CACTUS logiciel rançonneur utilise la vulnérabilité RVP connue pour accéder à ses victimes, ce qui limite son pool de cibles potentielles aux organisations utilisant des appliances RVP connues et vulnérables. De plus, on a observé que CACTUS cible principalement les grandes entreprises, qui disposent des ressources nécessaires pour répondre à une demande de rançon importante.
CACTUS est un exemple de variante de logiciel rançonneur conçue pour attaquer le réseau d’entreprise tout en utilisant diverses techniques d’évasion pour passer sous le radar. Voici quelques bonnes pratiques de sécurité que les organisations peuvent mettre en œuvre pour se protéger contre cette menace :
Logiciel rançonneur est devenu l’une des menaces les plus importantes pour les données, la réputation et les résultats des organisations. L’attaque moderne de rançonneur de logiciels menace non seulement l’accès aux données via le chiffrement, mais intègre également le vol de données et la honte pour augmenter la pression sur les organisations pour qu’elles paient la rançon demandée.
Cependant, les logiciels rançonneurs comme CACTUS ne sont qu’une des nombreuses menaces de cybersécurité auxquelles les entreprises sont confrontées. Pour en savoir plus sur l’étendue du paysage actuel des cybermenaces, consultez le Rapport sur la cybersécurité 2024 de Check Point.
Check Point Harmony Endpoint offre aux organisations les outils dont elles ont besoin pour se protéger contre les logiciels rançonneurs et autres menaces potentielles pour leur poste et leurs données. Son approche de la sécurité axée sur la prévention est conçue pour identifier et éradiquer la menace avant qu’elle ne puisse chiffrer ou divulguer des données sensibles. Pour en savoir plus sur les capacités de Harmony Endpointet sur la façon dont elle peut améliorer les défenses de votre organisation contre les rançonneurs, demandez une démo gratuite.