CACTUS ランサムウェアはどのように機能しますか?
CACTUS ランサムウェアは通常、仮想プライベート ネットワーク (VPN) ソフトウェアの脆弱性を悪用して、ターゲット環境にアクセスします。 システムにアクセスした後、マルウェアは SSH 経由でオペレーターとのコマンド アンド コントロール (C2) 通信を確立します。 また、感染したシステム上のスケジュールされたタスクを利用して、再起動後も永続性を維持します。
マルウェアは、ターゲット ネットワーク上に足跡を残し、ネットワーク スキャンを使用して、ネットワーク上の感染の潜在的なターゲットを特定します。 次に、さまざまな方法を使用して、Webブラウザーからユーザー資格情報を収集し、LSASSからダンプするなど、ユーザーの資格情報を盗みます。 これらの侵害された資格情報は、攻撃を実行するために必要なレベルのアクセスを取得するために使用されます。 これには、マルウェアがネットワークを通じて拡散するために使用できるリモート デバイス上のアカウントの追加やアクセスが含まれます。
デバイスに侵入すると、マルウェアは msiexec を使用して一般的なウイルス対策ソフトウェアをアンインストールします。 このマルウェアには、AES キーを使用して解凍する必要がある暗号化形式でマルウェアを配布するなど、検出から保護するために設計されたさまざまな手法も組み込まれています。 この手法は、研究者やサンドボックスがマルウェアのコピーと一緒に適切な復号化キーを収集していないか、悪意のある機能をトリガーするために必要な構成パラメータを認識していない可能性があるため、マルウェアの分析から保護するために設計されている可能性があります。
CACTUS は二重恐喝型ランサムウェアの亜種の一例です。 このマルウェアは、RSA と AES の組み合わせでデータを暗号化するだけでなく、データを盗み出すことも試みます。 この目的には、盗んだファイルをクラウド ストレージに移動する Rclone が使用されることが確認されています。 暗号化と抽出が完了すると、マルウェアはユーザーのコンピューターに身代金要求のメモを投稿します。
チェック・ポイントによるランサムウェア攻撃の防止
ランサムウェアは、組織のデータ、評判、収益に対する最も重大な脅威の 1 つになっています。 現代のランサムウェア攻撃は、暗号化によるデータへのアクセスを脅かすだけでなく、データの盗難や名誉毀損も組み込んで、要求された身代金を支払うよう組織に圧力をかけます。
しかし、CACTUS のようなランサムウェアは、企業が直面する数多くのサイバーセキュリティの脅威の 1 つにすぎません。 現在のサイバー脅威の状況について詳しく知るには、チェック・ポイントの2024年サイバーセキュリティレポートをご覧ください。
チェック・ポイントHarmony Endpointランサムウェアやその他の潜在的な脅威から組織のアカウントとデータを保護するために必要なツールを提供します。 セキュリティに対する予防に重点を置いたアプローチは、機密データを暗号化または漏洩する前に脅威を特定して根絶するように設計されています。 Harmony Endpoint の機能と、ランサムウェアに対する組織の防御を強化する方法について詳しくは、無料デモをリクエストしてください。
Feedback