CACTUS Ransomware

Il ransomware CACTUS è un ceppo di malware scoperto per la prima volta in circolazione nel marzo 2023. Il suo nome si basa sulla richiesta di riscatto che pubblica sui computer delle vittime, che si chiama cAcTuS.readme.txt. Il malware crea anche file crittografati con estensione .cts1 estensione, dove il numero alla fine dell'estensione può variare.

Richiedi una Demo Per saperne di più

Come funziona il ransomware CACTUS?

Il ransomware CACTUS di solito sfrutta le vulnerabilità nel software della rete privata virtuale (VPN) per ottenere l'accesso a un ambiente di destinazione. Dopo aver ottenuto l'accesso al sistema, il malware stabilisce comunicazioni di comando e controllo (C2) con il suo operatore tramite SSH. Sfrutta anche le attività pianificate sul sistema infetto per mantenere la persistenza tra i riavvii.

Con un'impronta sulla rete di destinazione, il malware utilizza la scansione della rete per identificare potenziali bersagli di infezione sulla rete. Utilizza quindi vari metodi per rubare le credenziali dell'utente, ad esempio raccoglierle dai browser Web e scaricarle da LSASS. Queste credenziali compromesse vengono quindi utilizzate per ottenere il livello di accesso richiesto per eseguire l'attacco. Ciò include l'aggiunta o l'accesso ad account sul dispositivo remoto che il malware può utilizzare per diffondersi attraverso la rete.

 

Una volta installato sul dispositivo, il malware utilizza msiexec per disinstallare i comuni software antivirus. Il malware incorpora inoltre varie tecniche progettate per proteggerlo dal rilevamento, inclusa la distribuzione del malware in forma crittografata che richiede una chiave AES per essere decompresso. Questa tecnica è probabilmente progettata per proteggere dall'analisi del malware poiché ricercatori e sandbox potrebbero non aver raccolto la chiave di decrittazione appropriata insieme alla loro copia del malware o non essere a conoscenza dei parametri di configurazione richiesti per attivare la sua funzionalità dannosa.

CACTUS è un esempio di una variante di ransomware a doppia estorsione. Oltre a crittografare i dati, con una combinazione di RSA e AES, il malware tenta anche di esfiltrarli. È stato osservato che a questo scopo viene utilizzato Rclone, che sposta i file rubati nell'archivio cloud. Una volta completate la crittografia e l'esfiltrazione, il malware pubblica richieste di riscatto sul computer dell'utente.

Che cosa prende di mira il ransomware CACTUS?

Il ransomware CACTUS utilizza vulnerabilità VPN note per ottenere l'accesso alle sue vittime, limitando il suo pool di potenziali obiettivi a quelle organizzazioni che utilizzano dispositivi VPN vulnerabili noti. Inoltre, è stato osservato che CACTUS prende di mira principalmente le grandi imprese, che dispongono delle risorse necessarie per soddisfare una grande richiesta di riscatto.

Come proteggersi dal ransomware CACTUS

CACTUS è un esempio di una variante ransomware progettata per attaccare la rete aziendale utilizzando varie tecniche di evasione per volare sotto il radar. Di seguito sono riportate alcune best practice di sicurezza che le organizzazioni possono implementare per proteggersi da questa minaccia :

  • Gestione delle patch: il ransomware CACTUS infetta principalmente i sistemi sfruttando le vulnerabilità note nei sistemi VPN senza patch. L'applicazione tempestiva di aggiornamenti e patch non appena diventano disponibili può impedire al malware di utilizzare questo vettore di accesso.
  • Autenticazione forte: questo ransomware tenta spesso di rubare credenziali dai browser e da LSASS per ottenere l'accesso e i privilegi necessari per raggiungere i suoi obiettivi. L'implementazione dell'autenticazione a più fattori (MFA) per gli account utente può impedire a CACTUS di utilizzare le password rubate da un computer infetto.
  • Formazione dei dipendenti: CACTUS tenta di sfruttare il riutilizzo delle password scaricando le password da varie fonti su un computer infetto. Formare i dipendenti sulle best practice di sicurezza dell'account può aiutare a ridurre o eliminare questa minaccia.
  • Segmentazione della rete: CACTUS tenta di spostarsi lateralmente attraverso la rete utilizzando account creati o compromessi da un computer infetto. la segmentazione della rete isola i sistemi di alto valore dal resto della rete, rendendoli più difficili da accedere per un utente malintenzionato.
  • rete Security: questo ransomware utilizza la scansione della rete e strumenti di accesso remoto per spostarsi attraverso la rete. Le soluzioni di monitoraggio e sicurezza della rete possono identificare e bloccare questi tentativi di movimento laterale.
  • Soluzioni anti-ransomware: CACTUS tenta di crittografare i file sensibili e di esfiltrarli tramite l'archiviazione nel cloud. Le soluzioni anti-ransomware possono identificare questo comportamento dannoso ed eliminare l'infezione da malware.

Prevenire gli attacchi ransomware con Check Point

Il ransomware è diventato una delle minacce più significative ai dati, alla reputazione e ai profitti delle organizzazioni. Il moderno attacco ransomware non solo minaccia l’accesso ai dati tramite crittografia, ma incorpora anche il furto di dati e lo shaming per aumentare la pressione sulle organizzazioni affinché paghino il riscatto richiesto.

Tuttavia, il ransomware come CACTUS è solo una delle numerose minacce alla sicurezza informatica che le aziende devono affrontare. Per saperne di più sulla portata dell’attuale panorama delle minacce informatiche, consulta il Cyber Security Report 2024 di Check Point.

 

Check Point Harmony Endpoint offre alle organizzazioni gli strumenti di cui hanno bisogno per proteggersi dal ransomware e da altre potenziali minacce ai propri endpoint e dati. Il suo approccio alla sicurezza incentrato sulla prevenzione è progettato per identificare e sradicare la minaccia prima che possa crittografare o far trapelare dati sensibili. Per ulteriori informazioni sulle funzionalità di Harmony Endpoint e su come può migliorare le difese della tua organizzazione contro il ransomware, richiedi una demo gratuita.

Per iniziare

Protezione ransomware

Sicurezza degli Endpoint

Whitepaper completo sulla protezione contro i ransomware

Argomenti correlati

Come rimuovere il ransomware

ransomwarea doppia estorsione

Rilevamento di ransomware

ransomware come servizio (RaaS)

×
  Feedback
Questo sito web utilizza cookies per la sua funzionalità e per scopi di analisi e marketing. Continuando a utilizzare questo sito Web, accetti l'utilizzo dei cookies. Per ulteriori informazioni, leggere la nostra Informativacookies .
OK