CACTUS Ransomware

캑터스 랜섬웨어는 2023년 3월에 야생에서 처음 발견된 멀웨어 변종입니다. 이 랜섬웨어의 이름은 피해자의 컴퓨터에 저장되는 랜섬노트에서 따온 것으로, 이름은 cAcTuS.readme.txt입니다. 이 멀웨어는 또한 .cts1로 암호화된 파일을 생성합니다. 확장자를 사용할 수 있으며, 확장자 끝의 숫자는 다를 수 있습니다.

데모 요청하기 자세히 알아보기

캑터스 랜섬웨어는 어떻게 작동하나요?

캑터스 랜섬웨어는 일반적으로 가상 사설망(VPN) 소프트웨어의 취약점을 악용하여 대상 환경에 액세스합니다. 시스템에 액세스한 후, 멀웨어는 SSH를 통해 운영자와 명령 및 제어(C2) 통신을 설정합니다. 또한 감염된 시스템에서 예약된 작업을 활용하여 재부팅 시에도 지속성을 유지합니다.

대상 네트워크에 발자국을 남긴 멀웨어는 네트워크 검색을 사용하여 네트워크에서 잠재적인 감염 대상을 식별합니다. 그런 다음 웹 브라우저에서 사용자 자격 증명을 수집하여 LSASS에서 덤핑하는 등 다양한 방법을 사용하여 사용자 자격 증명을 훔칩니다. 이렇게 탈취한 인증 정보는 공격을 수행하는 데 필요한 수준의 액세스 권한을 얻는 데 사용됩니다. 여기에는 멀웨어가 네트워크를 통해 자신을 확산하는 데 사용할 수 있는 원격 디바이스의 계정을 추가하거나 액세스하는 것이 포함됩니다.

 

디바이스에 침입한 멀웨어는 msiexec을 사용하여 일반적인 바이러스 백신 소프트웨어를 제거합니다. 또한 이 멀웨어는 압축을 풀기 위해 AES 키가 필요한 암호화된 형태로 멀웨어를 배포하는 등 탐지를 방지하기 위해 설계된 다양한 기술을 통합하고 있습니다. 이 기법은 연구자와 샌드박스가 멀웨어 사본과 함께 적절한 암호 해독 키를 수집하지 않았거나 악성 기능을 트리거하는 데 필요한 구성 매개 변수를 알지 못할 수 있으므로 멀웨어 분석으로부터 보호하기 위해 고안되었을 가능성이 높습니다.

캑터스는 이중 갈취 랜섬웨어 변종의 한 예입니다. 이 멀웨어는 RSA와 AES의 조합으로 데이터를 암호화하는 것 외에도 데이터 유출을 시도합니다. 이를 위해 도난당한 파일을 클라우드 스토리지로 이동하는 Rclone을 사용하는 것으로 관찰되었습니다. 암호화 및 유출이 완료되면 멀웨어는 사용자의 컴퓨터에 랜섬 메모를 게시합니다.

캑터스 랜섬웨어의 표적은 무엇인가요?

캑터스 랜섬웨어는 알려진 VPN 취약성을 사용하여 피해자에게 접근하기 때문에 잠재적 공격 대상 풀은 알려진 취약한 VPN 어플라이언스를 사용하는 조직으로 제한됩니다. 또한, 캑터스는 주로 대규모 몸값 요청을 충족하는 데 필요한 리소스를 보유한 대기업을 노리는 것으로 관찰되었습니다.

캑터스 랜섬웨어로부터 보호하는 방법

캑터스는 기업 네트워크를 공격하도록 설계된 랜섬웨어 변종으로, 다양한 회피 기술을 사용하여 레이더망을 피할 수 있습니다. 조직이 이 위협으로부터 보호하기 위해 구현할 수 있는 몇 가지 보안 모범 사례는 다음과 같습니다:

  • 패치 관리: 캑터스 랜섬웨어는 주로 패치가 적용되지 않은 VPN 시스템의 알려진 취약점을 악용하여 시스템을 감염시킵니다. 업데이트와 패치가 제공되면 즉시 적용하면 멀웨어가 이 액세스 벡터를 사용하는 것을 방지할 수 있습니다.
  • 강력한 인증: 이 랜섬웨어는 종종 브라우저와 LSASS에서 자격 증명을 훔쳐 목적을 수행하는 데 필요한 액세스 권한과 권한을 얻으려고 시도합니다. 사용자 계정에 다중 인증(MFA) 을 구현하면 캑터스가 감염된 컴퓨터에서 훔친 비밀번호를 사용하는 것을 방지할 수 있습니다.
  • 직원 교육: 캑터스는 감염된 컴퓨터에서 다양한 출처의 비밀번호를 덤프하여 비밀번호 재사용을 악용하려고 시도합니다. 직원들에게 계정 보안 모범 사례를 교육하면 이러한 위협을 줄이거나 없애는 데 도움이 될 수 있습니다.
  • 네트워크 세분화: 캑터스는 감염된 컴퓨터에서 생성하거나 침해한 계정을 사용하여 네트워크를 통해 횡방향으로 이동하려고 시도합니다. 네트워크 세분화는 고가치 시스템을 나머지 네트워크에서 분리하여 공격자가 접근하기 어렵게 만듭니다.
  • 네트워크 보안: 이 랜섬웨어는 네트워크 검색 및 원격 액세스 도구를 사용하여 네트워크를 통해 이동합니다. 네트워크 모니터링 및 보안 솔루션은 이러한 측면 이동 시도를 식별하고 차단할 수 있습니다.
  • 랜섬웨어 방지 솔루션: 캑터스는 민감한 파일을 암호화하고 클라우드 스토리지를 통해 유출을 시도합니다. 랜섬웨어 방지 솔루션은 이러한 악성 행위를 식별하고 멀웨어 감염을 근절할 수 있습니다.

체크 포인트로 랜섬웨어 공격 방지

랜섬웨어는 조직의 데이터, 평판, 수익에 대한 가장 심각한 위협 중 하나가 되었습니다. 최신 랜섬웨어 공격은 암호화를 통해 데이터에 대한 액세스를 위협할 뿐만 아니라 데이터 도용과 수치심을 유발하여 조직이 요구한 몸값을 지불해야 한다는 압박을 가중시킵니다.

하지만 캑터스와 같은 랜섬웨어는 기업이 직면하는 여러 사이버 보안 위협 중 하나일 뿐입니다. 현재 사이버 위협 환경에 대해 자세히 알아보려면 체크포인트의 2024 사이버 보안 보고서를 확인하세요.

 

체크 포인트 Harmony Endpoint는 조직이 랜섬웨어 및 엔드포인트와 데이터에 대한 기타 잠재적 위협으로부터 보호하는 데 필요한 도구를 제공합니다. 예방 중심의 보안 접근 방식은 민감한 데이터를 암호화하거나 유출하기 전에 위협을 식별하고 근절하도록 설계되었습니다. Harmony Endpoint의 기능과 랜섬웨어에 대한 조직의 방어를 강화하는 방법에 대해 자세히 알아보려면 무료 데모를 요청하세요.

×
  피드백
본 웹 사이트에서는 기능과 분석 및 마케팅 목적으로 쿠키를 사용합니다. 웹 사이트를 계속 이용하면 쿠키 사용에 동의하시게 됩니다. 자세한 내용은 쿠키 공지를 읽어 주십시오.