캑터스 랜섬웨어는 일반적으로 가상 사설망(VPN) 소프트웨어의 취약점을 악용하여 대상 환경에 액세스합니다. 시스템에 액세스한 후, 멀웨어는 SSH를 통해 운영자와 명령 및 제어(C2) 통신을 설정합니다. 또한 감염된 시스템에서 예약된 작업을 활용하여 재부팅 시에도 지속성을 유지합니다.
대상 네트워크에 발자국을 남긴 멀웨어는 네트워크 검색을 사용하여 네트워크에서 잠재적인 감염 대상을 식별합니다. 그런 다음 웹 브라우저에서 사용자 자격 증명을 수집하여 LSASS에서 덤핑하는 등 다양한 방법을 사용하여 사용자 자격 증명을 훔칩니다. 이렇게 탈취한 인증 정보는 공격을 수행하는 데 필요한 수준의 액세스 권한을 얻는 데 사용됩니다. 여기에는 멀웨어가 네트워크를 통해 자신을 확산하는 데 사용할 수 있는 원격 디바이스의 계정을 추가하거나 액세스하는 것이 포함됩니다.
디바이스에 침입한 멀웨어는 msiexec을 사용하여 일반적인 바이러스 백신 소프트웨어를 제거합니다. 또한 이 멀웨어는 압축을 풀기 위해 AES 키가 필요한 암호화된 형태로 멀웨어를 배포하는 등 탐지를 방지하기 위해 설계된 다양한 기술을 통합하고 있습니다. 이 기법은 연구자와 샌드박스가 멀웨어 사본과 함께 적절한 암호 해독 키를 수집하지 않았거나 악성 기능을 트리거하는 데 필요한 구성 매개 변수를 알지 못할 수 있으므로 멀웨어 분석으로부터 보호하기 위해 고안되었을 가능성이 높습니다.
캑터스는 이중 갈취 랜섬웨어 변종의 한 예입니다. 이 멀웨어는 RSA와 AES의 조합으로 데이터를 암호화하는 것 외에도 데이터 유출을 시도합니다. 이를 위해 도난당한 파일을 클라우드 스토리지로 이동하는 Rclone을 사용하는 것으로 관찰되었습니다. 암호화 및 유출이 완료되면 멀웨어는 사용자의 컴퓨터에 랜섬 메모를 게시합니다.
캑터스 랜섬웨어는 알려진 VPN 취약성을 사용하여 피해자에게 접근하기 때문에 잠재적 공격 대상 풀은 알려진 취약한 VPN 어플라이언스를 사용하는 조직으로 제한됩니다. 또한, 캑터스는 주로 대규모 몸값 요청을 충족하는 데 필요한 리소스를 보유한 대기업을 노리는 것으로 관찰되었습니다.
캑터스는 기업 네트워크를 공격하도록 설계된 랜섬웨어 변종으로, 다양한 회피 기술을 사용하여 레이더망을 피할 수 있습니다. 조직이 이 위협으로부터 보호하기 위해 구현할 수 있는 몇 가지 보안 모범 사례는 다음과 같습니다:
랜섬웨어는 조직의 데이터, 평판, 수익에 대한 가장 심각한 위협 중 하나가 되었습니다. 최신 랜섬웨어 공격은 암호화를 통해 데이터에 대한 액세스를 위협할 뿐만 아니라 데이터 도용과 수치심을 유발하여 조직이 요구한 몸값을 지불해야 한다는 압박을 가중시킵니다.
하지만 캑터스와 같은 랜섬웨어는 기업이 직면하는 여러 사이버 보안 위협 중 하나일 뿐입니다. 현재 사이버 위협 환경에 대해 자세히 알아보려면 체크포인트의 2024 사이버 보안 보고서를 확인하세요.
체크 포인트 Harmony Endpoint는 조직이 랜섬웨어 및 엔드포인트와 데이터에 대한 기타 잠재적 위협으로부터 보호하는 데 필요한 도구를 제공합니다. 예방 중심의 보안 접근 방식은 민감한 데이터를 암호화하거나 유출하기 전에 위협을 식별하고 근절하도록 설계되었습니다. Harmony Endpoint의 기능과 랜섬웨어에 대한 조직의 방어를 강화하는 방법에 대해 자세히 알아보려면 무료 데모를 요청하세요.
피드백