CACTUS Ransomware

CACTUS logiciel rançonneur est une souche de logiciel malveillant qui a été découverte pour la première fois dans la nature en mars 2023. Son nom est basé sur la note de rançon qu’il place sur les ordinateurs des victimes, qui porte le nom cAcTuS.readme.txt. Le logiciel malveillant crée également des fichiers cryptés avec le .cts1 , où le nombre à la fin de l’extension peut varier.

Demander une démo En savoir plus

Comment fonctionne CACTUS logiciel rançonneur ?

CACTUS logiciel rançonneur exploite généralement la vulnérabilité d’un logiciel de réseau privé virtuel (RVP) pour accéder à un environnement cible. Après avoir accédé au système, le logiciel malveillant établit des communications de commande et de contrôle (C2) avec son opérateur via SSH. Il tire également parti des tâches planifiées sur le système infecté pour maintenir la persistance entre les redémarrages.

Avec une empreinte sur le réseau cible, le logiciel malveillant utilise l’analyse du réseau pour identifier les cibles potentielles d’infection sur le réseau. Il utilise ensuite diverses méthodes pour voler les informations d’identification des utilisateurs, telles que la collecte à partir de navigateurs Web et leur vidage de LSASS. Ces informations d’identification compromises sont ensuite utilisées pour obtenir le niveau d’accès requis pour effectuer l’attaque. Cela inclut l’ajout ou l’accès à des comptes sur un appareil distant que le logiciel malveillant peut utiliser pour se propager sur le réseau.

 

Une fois sur un appareil, le logiciel malveillant utilise msiexec pour désinstaller les logiciels antivirus courants. Le logiciel malveillant intègre également diverses techniques conçues pour le protéger contre la détection, notamment la distribution du logiciel malveillant sous une forme cryptée qui nécessite une clé AES pour être décompressé. Cette technique est probablement conçue pour protéger contre l’analyse du logiciel malveillant, car les chercheurs et les sandbox peuvent ne pas avoir collecté la clé de déchiffrement appropriée avec leur copie du logiciel malveillant ou ne pas connaître les paramètres de configuration requis pour déclencher sa fonctionnalité malveillante.

CACTUS est un exemple de variante de logiciel rançonneur à double extorsion. En plus de chiffrer les données - avec une combinaison de RSA et AES - le logiciel malveillant tente également de les exfiltrer. Il a été observé d’utiliser Rclone pour cela, qui déplace les fichiers volés vers cloud stockage. Une fois le chiffrement et l’exfiltration terminés, le logiciel malveillant affiche des notes de rançon sur l’ordinateur de l’utilisateur.

Que cible CACTUS logiciel rançonneur ?

CACTUS logiciel rançonneur utilise la vulnérabilité RVP connue pour accéder à ses victimes, ce qui limite son pool de cibles potentielles aux organisations utilisant des appliances RVP connues et vulnérables. De plus, on a observé que CACTUS cible principalement les grandes entreprises, qui disposent des ressources nécessaires pour répondre à une demande de rançon importante.

Comment se protéger contre CACTUS logiciel rançonneur

CACTUS est un exemple de variante de logiciel rançonneur conçue pour attaquer le réseau d’entreprise tout en utilisant diverses techniques d’évasion pour passer sous le radar. Voici quelques bonnes pratiques de sécurité que les organisations peuvent mettre en œuvre pour se protéger contre cette menace :

  • Gestion des correctifs : CACTUS logiciel rançonneur infecte principalement les systèmes en exploitant la vulnérabilité connue des systèmes RVP non corrigés. L’application rapide des mises à jour et des correctifs lorsqu’ils sont disponibles peut empêcher le logiciel malveillant d’utiliser ce vecteur d’accès.
  • Authentification forte : Ce rançonneur de logiciels tente souvent de voler les informations d’identification des navigateurs et du LSASS pour obtenir l’accès et les privilèges nécessaires à la réalisation de ses objectifs. La mise en œuvre de l’authentification multifacteur (MFA) pour les comptes d’utilisateurs peut empêcher CACTUS d’utiliser les mots de passe qu’il vole sur un ordinateur infecté.
  • Formation des employés : CACTUS tente d’exploiter la réutilisation des mots de passe en déversant des mots de passe de diverses sources sur un ordinateur infecté. La formation des employés aux meilleures pratiques de sécurité des comptes peut aider à réduire ou à éliminer cette menace.
  • réseau Segmentation : CACTUS tente de se déplacer latéralement dans le réseau en utilisant des comptes qu’il a créés ou compromis à partir d’un ordinateur infecté. La segmentation du réseau isole les systèmes de grande valeur du reste du réseau, ce qui les rend plus difficiles d’accès pour un attaquant.
  • réseau Sécurité : Ce logiciel rançonneur utilise des outils de balayage de réseau et d’accès à distance pour se déplacer dans le réseau. Les solutions de surveillance et de sécurité du réseau peuvent identifier et bloquer ces tentatives de mouvement latéral.
  • Solutions anti-logiciel rançonneur : CACTUS tente de crypter les fichiers sensibles et de les exfiltrer via cloud stockage. Les solutions anti-logiciel rançonneur permettent d’identifier ce comportement malveillant et d’éradiquer l’infection malveillante.

Prévenir les attaques du logiciel rançonneur avec le Point de contrôle

Logiciel rançonneur est devenu l’une des menaces les plus importantes pour les données, la réputation et les résultats des organisations. L’attaque moderne de rançonneur de logiciels menace non seulement l’accès aux données via le chiffrement, mais intègre également le vol de données et la honte pour augmenter la pression sur les organisations pour qu’elles paient la rançon demandée.

Cependant, les logiciels rançonneurs comme CACTUS ne sont qu’une des nombreuses menaces de cybersécurité auxquelles les entreprises sont confrontées. Pour en savoir plus sur l’étendue du paysage actuel des cybermenaces, consultez le Rapport sur la cybersécurité 2024 de Point de contrôle.

 

Point de contrôle Harmony Endpoint offre aux organisations les outils dont elles ont besoin pour se protéger contre les logiciels rançonneurs et autres menaces potentielles pour leur poste et leurs données. Son approche de la sécurité axée sur la prévention est conçue pour identifier et éradiquer la menace avant qu’elle ne puisse chiffrer ou divulguer des données sensibles. Pour en savoir plus sur les capacités de Harmony Endpointet sur la façon dont elle peut améliorer les défenses de votre organisation contre les rançonneurs, demandez une démo gratuite.

Commencez

Protection contre les logiciels rançonneurs

Sécurité des postes

Complete logiciel rançonneur Protection Whitepaper

Sujets connexes

Comment supprimer le logiciel rançonneur

Double-extortion logiciel rançonneur

logiciel rançonneur Detection

logiciel rançonneur as-a-Service (RaaS)

×
  Commentaires
Ce site web utilise des cookies pour sa fonctionnalité et à des fins d’analyse et de marketing. En poursuivant votre navigation sur ce site, vous acceptez l’utilisation de cookies. Pour plus d’informations, veuillez lire notre Avis sur les cookies.
OK