CACTUS Ransomware

CACTUS ランサムウェアは、2023 年 3 月に初めて発見されたマルウェアの一種です。 その名前は、被害者のコンピューターに配置する身代金メモ(cAcTuS.readme.txt)に基づいています。 このマルウェアは.cts1で暗号化されたファイルも作成する。 拡張子の末尾の番号は異なる場合があります。

デモをリクエストする 詳細はこちら

CACTUS ランサムウェアはどのように機能しますか?

CACTUS ランサムウェアは通常、仮想プライベート ネットワーク (VPN) ソフトウェアの脆弱性を悪用して、ターゲット環境にアクセスします。 システムにアクセスした後、マルウェアは SSH 経由でオペレーターとのコマンド アンド コントロール (C2) 通信を確立します。 また、感染したシステム上のスケジュールされたタスクを利用して、再起動後も永続性を維持します。

マルウェアは、ターゲット ネットワーク上に足跡を残し、ネットワーク スキャンを使用して、ネットワーク上の感染の潜在的なターゲットを特定します。 次に、さまざまな方法を使用して、Webブラウザーからユーザー資格情報を収集し、LSASSからダンプするなど、ユーザーの資格情報を盗みます。 これらの侵害された資格情報は、攻撃を実行するために必要なレベルのアクセスを取得するために使用されます。 これには、マルウェアがネットワークを通じて拡散するために使用できるリモート デバイス上のアカウントの追加やアクセスが含まれます。

 

デバイスに侵入すると、マルウェアは msiexec を使用して一般的なウイルス対策ソフトウェアをアンインストールします。 このマルウェアには、AES キーを使用して解凍する必要がある暗号化形式でマルウェアを配布するなど、検出から保護するために設計されたさまざまな手法も組み込まれています。 この手法は、研究者やサンドボックスがマルウェアのコピーと一緒に適切な復号化キーを収集していないか、悪意のある機能をトリガーするために必要な構成パラメータを認識していない可能性があるため、マルウェアの分析から保護するために設計されている可能性があります。

CACTUS は二重恐喝型ランサムウェアの亜種の一例です。 このマルウェアは、RSA と AES の組み合わせでデータを暗号化するだけでなく、データを盗み出すことも試みます。 この目的には、盗んだファイルをクラウド ストレージに移動する Rclone が使用されることが確認されています。 暗号化と抽出が完了すると、マルウェアはユーザーのコンピューターに身代金要求のメモを投稿します。

CACTUS ランサムウェアは何をターゲットにしているのか?

CACTUS ランサムウェアは既知の VPN の脆弱性を利用して被害者にアクセスするため、潜在的なターゲットは既知の脆弱な VPN アプライアンスを使用している組織に限定されます。 さらに、カクタスは主に、多額の身代金要求を満たすために必要なリソースを持つ大企業を標的にしていることが確認されています。

CACTUS ランサムウェアから身を守る方法

CACTUS は、さまざまな回避技術を使用してレーダーを回避しながら企業ネットワークを攻撃するように設計されたランサムウェアの亜種の一例です。 この脅威から保護するために組織が実装できるセキュリティのベストプラクティスには、次のようなものがあります。

  • パッチ管理: CACTUS ランサムウェアは主に、パッチが適用されていない VPN システムの既知の脆弱性を悪用してシステムに感染します。 アップデートやパッチが利用可能になったらすぐに適用することで、マルウェアがこのアクセスベクトルを使用することを防ぐことができます。
  • 強力な認証:このランサムウェアは、目的を遂行するために必要なアクセスと権限を取得するために、ブラウザや LSASS から資格情報を盗み出そうとすることがよくあります。 ユーザー アカウントに多要素認証 (MFA)を実装すると、CACTUS が感染したコンピューターから盗んだパスワードを使用することを防ぐことができます。
  • 従業員教育: カクタスは、感染したコンピュータにさまざまなソースからのパスワードをダンプすることで、パスワードの再利用を悪用しようとします。 アカウントセキュリティのベストプラクティスについて従業員をトレーニングすることで、この脅威を軽減または排除することができます。
  • ネットワーク セグメンテーション: CACTUS は、感染したコンピューターから作成したアカウントまたは侵害したアカウントを使用して、ネットワークを横方向に移動しようとします。 ネットワーク セグメンテーションにより、価値の高いシステムがネットワークの残りの部分から分離され、攻撃者がアクセスしにくくなります。
  • ネットワーク セキュリティ:このランサムウェアは、ネットワーク スキャンとリモート アクセス ツールを使用してネットワーク内を移動します。 ネットワーク監視およびセキュリティ ソリューションは、このような横方向の移動の試みを識別してブロックできます。
  • ランサムウェア対策ソリューション: CACTUS は機密ファイルを暗号化し、クラウド ストレージ経由で流出させようとします。 ランサムウェア対策ソリューションは、この悪意のある動作を識別し、マルウェア感染を根絶することができます。

チェック・ポイントによるランサムウェア攻撃の防止

ランサムウェアは、組織のデータ、評判、収益に対する最も重大な脅威の 1 つになっています。 現代のランサムウェア攻撃は、暗号化によるデータへのアクセスを脅かすだけでなく、データの盗難や名誉毀損も組み込んで、要求された身代金を支払うよう組織に圧力をかけます。

しかし、CACTUS のようなランサムウェアは、企業が直面する数多くのサイバーセキュリティの脅威の 1 つにすぎません。 現在のサイバー脅威の状況について詳しく知るには、チェック・ポイントの2024年サイバーセキュリティレポートをご覧ください。

 

チェック・ポイントHarmony Endpointランサムウェアやその他の潜在的な脅威から組織のアカウントとデータを保護するために必要なツールを提供します。 セキュリティに対する予防に重点を置いたアプローチは、機密データを暗号化または漏洩する前に脅威を特定して根絶するように設計されています。 Harmony Endpoint の機能と、ランサムウェアに対する組織の防御を強化する方法について詳しくは、無料デモをリクエストしてください

×
  フィードバック
このWebサイトは、機能性と分析およびマーケティングの目的でCookieを使用しています。Webサイトを引き続きご利用いただくことで、Cookieの使用に同意したことになります。詳細については、Cookieに関する通知をお読みください。
OK